Енигма Стеалер

Руски актери претњи осмислили су кампању која циља на источне Европљане који раде у индустрији криптовалута. Користећи лажне понуде за посао, они имају за циљ да заразе своје жртве раније непознатим малвером праћеним као Енигма Стеалер. Претећа операција се ослања на замршен скуп јако замућених учитавача који искоришћавају рањивост у старом Интел драјверу. Ова техника се користи за смањење интегритета токена Мицрософт Дефендер-а и сходно томе заобилажење његових безбедносних мера.

Све ове тактике се користе за добијање приступа поверљивим подацима и компромитовање машина жртава. Детаљи о Енигма Стеалер-у и инфраструктури кампање напада откривени су у извештају истраживача безбедности. Према њиховим налазима, Енигма је модификована верзија малвера отвореног кода Стеалериум .

Сложени ланац инфекције крадљивца Енигме

Глумци претњи који стоје иза Енигма Стеалер-а користе злобну е-пошту да нападну своје жртве. Е-поруке које се претварају да нуде прилике за посао укључују приложену РАР архиву која садржи .ТКСТ датотеку са питањима за интервју написаним на ћирилици, као и извршни фајл под називом „интервиев цондитионс.ворд.еке“. Ако се жртва наведе да покрене извршни фајл, извршава се вишестепени ланац корисних оптерећења, који на крају преузима Енигма малвер за прикупљање информација са Телеграма.

Корисно оптерећење прве фазе је Ц++ програм за преузимање који користи различите технике да избегне откривање док преузима и покреће корисни терет друге фазе, „УпдатеТаск.длл“. Ова друга фаза експлоатације користи технику „Донеси сопствени рањиви драјвер“ (БИОВД) да би искористила ЦВЕ-2015-2291 Интел рањивост, која омогућава извршавање команди са привилегијама кернела. Ово затим користе актери претњи да онемогуће Мицрософт Дефендер пре него што малвер преузме трећи корисни садржај.

Претеће могућности Енигма Стеалер-а

Трећи терет који су распоређени од стране актера претњи је Енигма Стеалер. Дизајниран је да циља системске информације, токене и лозинке ускладиштене у веб прегледачима, као што су Гоогле Цхроме, Мицрософт Едге, Опера и други. Штавише, такође може да снима снимке екрана са компромитованог система, издваја садржај међуспремника и ВПН конфигурације.

Енигма Стеалер такође може да циља податке ускладиштене у Мицрософт Оутлоок, Телеграм, Сигнал, ОпенВПН и другим апликацијама. Све прикупљене информације се компресују у ЗИП архиву ('Дата.зип'), која се преко Телеграма шаље назад актерима претњи. Да би додатно сакрили сопствене податке и спречили неовлашћени приступ или манипулисање, неки од Енигминих стрингова, као што су путање веб претраживача и УРЛ-ови Геолоцатион АПИ сервиса, су шифровани у режиму ланчања блокова шифровања (ЦБЦ) помоћу алгоритма напредног стандарда шифровања (АЕС).