Krajec Enigme

Ruski akterji groženj so zasnovali kampanjo, ki cilja na vzhodnoevropejce, ki delajo v industriji kriptovalut. Z uporabo lažnih ponudb za delo želijo svoje žrtve okužiti s prej neznano zlonamerno programsko opremo, ki jo spremljajo kot Enigma Stealer. Nevarna operacija temelji na zapletenem nizu močno zakritih nalagalnikov, ki izkoriščajo ranljivost v starem gonilniku Intel. Ta tehnika se uporablja za zmanjšanje integritete žetona programa Microsoft Defender in posledično zaobiti njegove varnostne ukrepe.

Vse te taktike se uporabljajo za pridobitev dostopa do zaupnih podatkov in ogrožanje strojev žrtev. Podrobnosti o Enigma Stealerju in infrastrukturi napadalne kampanje so bile razkrite v poročilu varnostnih raziskovalcev. Po njihovih ugotovitvah je Enigma spremenjena različica odprtokodne zlonamerne programske opreme Stealerium .

Enigma Stealerjeva kompleksna veriga okužb

Akterji groženj, ki stojijo za Enigma Stealerjem, uporabljajo slabonamerno e-pošto za napad na svoje žrtve. E-poštna sporočila, ki se pretvarjajo, da ponujajo zaposlitvene priložnosti, vključujejo priložen arhiv RAR, ki vsebuje datoteko .TXT z vprašanji za intervju, napisana v cirilici, ter izvršljivo datoteko, imenovano 'interview conditions.word.exe.' Če je žrtev prisiljena zagnati izvršljivo datoteko, se izvede večstopenjska veriga uporabnih obremenitev, ki na koncu prenese zlonamerno programsko opremo Enigma za zbiranje informacij iz Telegrama.

Koristni tovor prve stopnje je prenosnik C++, ki uporablja različne tehnike, da se izogne zaznavanju med prenosom in zagonom koristnega tovora druge stopnje, 'UpdateTask.dll.' Ta druga stopnja izkoriščanja izkorišča tehniko »Prinesite svoj ranljiv gonilnik« (BYOVD) za izkoriščanje ranljivosti CVE-2015-2291 Intel, ki omogoča izvajanje ukazov s privilegiji jedra. To nato uporabijo akterji groženj, da onemogočijo Microsoft Defender, preden zlonamerna programska oprema prenese tretji tovor.

Nevarne sposobnosti kradljivca Enigme

Tretji tovor, ki so ga uporabili akterji groženj, je Enigma Stealer. Zasnovan je za ciljanje sistemskih informacij, žetonov in gesel, shranjenih v spletnih brskalnikih, kot so Google Chrome, Microsoft Edge, Opera in drugi. Poleg tega lahko zajema tudi posnetke zaslona iz ogroženega sistema, ekstrahira vsebino odložišča in konfiguracije VPN.

Enigma Stealer lahko cilja tudi na podatke, shranjene v aplikacijah Microsoft Outlook, Telegram, Signal, OpenVPN in drugih. Vse zbrane informacije so stisnjene v arhiv ZIP ('Data.zip'), ki se prek Telegrama pošlje nazaj akterjem groženj. Za nadaljnje prikrivanje lastnih podatkov in preprečevanje nepooblaščenega dostopa ali spreminjanja so nekateri Enigmini nizi, kot so poti spletnega brskalnika in URL-ji storitev API-ja za geolokacijo, šifrirani v načinu veriženja šifriranih blokov (CBC) z algoritmom Advanced Encryption Standard (AES).