Enigma Stealer

Ruskí aktéri hrozieb vymysleli kampaň, ktorá sa zameriava na východoeurópanov pracujúcich v kryptomenovom priemysle. Používaním falošných pracovných ponúk sa snažia nakaziť svoje obete predtým neznámym malvérom sledovaným ako Enigma Stealer. Hrozivá operácia sa opiera o zložitú sadu silne zmätených zavádzačov, ktoré využívajú zraniteľnosť starého ovládača Intel. Táto technika sa používa na zníženie integrity tokenu programu Microsoft Defender a následne na obídenie jeho bezpečnostných opatrení.

Všetky tieto taktiky sa používajú na získanie prístupu k dôverným údajom a kompromitáciu strojov obetí. Podrobnosti o Enigma Stealer a infraštruktúre útočnej kampane odhalila správa bezpečnostných výskumníkov. Podľa ich zistení je Enigma upravenou verziou open-source malvéru Stealerium .

Enigma Stealer's Complex Infection Chain

Aktéri hrozieb, ktorí stoja za zlodejom Enigmy, používajú na útok na svoje obete zlý e-mail. E-maily, ktoré predstierajú, že ponúkajú pracovné príležitosti, zahŕňajú priložený archív RAR obsahujúci súbor .TXT s otázkami na pohovor napísanými v azbuke, ako aj spustiteľný súbor s názvom „interview conditions.word.exe“. Ak je obeť prinútená spustiť spustiteľný súbor, spustí sa viacstupňový reťazec užitočných dát, ktorý nakoniec stiahne malvér Enigma zbierajúci informácie z Telegramu.

Užitočná časť prvej fázy je sťahovanie C++, ktoré používa rôzne techniky na obídenie detekcie pri sťahovaní a spúšťaní druhej fázy, 'UpdateTask.dll'. Toto zneužitie druhej fázy využíva techniku „Bring Your own Vulnerable Driver“ (BYOVD) na využitie zraniteľnosti Intel CVE-2015-2291, ktorá umožňuje spúšťanie príkazov s oprávneniami jadra. Toto potom používajú aktéri hrozieb na deaktiváciu programu Microsoft Defender predtým, ako malvér stiahne tretiu užitočnú časť.

Hrozivé schopnosti Enigmy Stealer

Tretím užitočným zaťažením nasadeným aktérmi hrozby je Enigma Stealer. Je navrhnutý tak, aby cielil na systémové informácie, tokeny a heslá uložené vo webových prehliadačoch, ako sú Google Chrome, Microsoft Edge, Opera a ďalšie. Okrem toho môže zachytiť snímky obrazovky z napadnutého systému, extrahovať obsah schránky a konfigurácie VPN.

Enigma Stealer je tiež schopný zamerať sa na dáta uložené v Microsoft Outlook, Telegram, Signal, OpenVPN a ďalších aplikáciách. Všetky zhromaždené informácie sú skomprimované do archívu ZIP („Data.zip“), ktorý sa posiela späť aktérom hrozby prostredníctvom telegramu. Na ďalšie ukrytie vlastných údajov a zabránenie neoprávnenému prístupu alebo manipulácii sú niektoré reťazce Enigmy, ako sú cesty webového prehliadača a adresy URL služieb Geolocation API, šifrované v režime reťazenia šifrových blokov (CBC) pomocou algoritmu Advanced Encryption Standard (AES).