Enigma vjedhës

Aktorët rusë të kërcënimit kanë krijuar një fushatë që synon evropianët lindorë që punojnë në industrinë e kriptomonedhave. Duke përdorur oferta të rreme pune, ata synojnë të infektojnë viktimat e tyre me një malware të panjohur më parë të gjurmuar si Enigma Stealer. Operacioni kërcënues mbështetet në një grup të ndërlikuar ngarkuesish shumë të turbullt që shfrytëzojnë një dobësi në një drejtues të vjetër Intel. Kjo teknikë përdoret për të reduktuar integritetin token të Microsoft Defender dhe rrjedhimisht për të anashkaluar masat e tij të sigurisë.

Të gjitha këto taktika përdoren për të fituar akses në të dhënat konfidenciale dhe për të komprometuar makinat e viktimave. Detaje rreth Enigma Stealer dhe infrastrukturës së fushatës së sulmit u zbuluan në një raport nga studiuesit e sigurisë. Sipas gjetjeve të tyre, Enigma është një version i modifikuar i malware me burim të hapur Stealerium .

Zinxhiri i Infeksionit Kompleksi i Enigma Stealer

Aktorët e kërcënimit që qëndrojnë pas vjedhësit të Enigmës po përdorin një email me mendje të keqe për të sulmuar viktimat e tyre. Emailet që pretendojnë se ofrojnë mundësi punësimi përfshijnë një arkiv të bashkangjitur RAR që përmban një skedar .TXT me pyetje intervistash të shkruara në cirilik, si dhe një ekzekutues të quajtur 'interview condition.word.exe'. Nëse viktima nxitet të nisë ekzekutuesin, ekzekutohet një zinxhir shumëfazor ngarkesash, i cili përfundimisht shkarkon malware-in që mbledh informacionin Enigma nga Telegram.

Ngarkesa e fazës së parë është një shkarkues C++ që përdor teknika të ndryshme për të shmangur zbulimin gjatë shkarkimit dhe lëshimit të ngarkesës së fazës së dytë, 'UpdateTask.dll'. Ky shfrytëzim i fazës së dytë përdor teknikën "Sillni drejtuesin tuaj të prekshëm" (BYOVD) për të shfrytëzuar cenueshmërinë CVE-2015-2291 të Intel, e cila lejon ekzekutimin e komandave me privilegjet e Kernelit. Kjo më pas përdoret nga aktorët e kërcënimit për të çaktivizuar Microsoft Defender përpara se malware të shkarkojë ngarkesën e tretë.

Aftësitë kërcënuese të Enigma Stealer

Ngarkesa e tretë e vendosur nga aktorët e kërcënimit është Enigma Stealer. Ai është krijuar për të synuar informacionin e sistemit, argumentet dhe fjalëkalimet e ruajtura në shfletuesit e uebit, si Google Chrome, Microsoft Edge, Opera dhe më shumë. Për më tepër, ai gjithashtu mund të kap pamjet e ekranit nga sistemi i komprometuar, të nxjerrë përmbajtjen e clipboard dhe konfigurimet VPN.

Enigma Stealer është gjithashtu i aftë të synojë të dhënat e ruajtura në Microsoft Outlook, Telegram, Signal, OpenVPN dhe aplikacione të tjera. I gjithë informacioni i mbledhur është i ngjeshur në një arkiv ZIP ('Data.zip'), i cili u dërgohet aktorëve të kërcënimit përmes Telegramit. Për të fshehur më tej të dhënat e veta dhe për të parandaluar aksesin ose ndërhyrjen e paautorizuar, disa nga vargjet e Enigma, të tilla si shtigjet e shfletuesit të uebit dhe URL-të e shërbimeve të API të gjeolokimit, janë të koduara në modalitetin e Zinxhirit të Blloqeve Shifrore (CBC) me algoritmin e standardit të përparuar të enkriptimit (AES).