Enigma Stealer

Ryska hotaktörer har utarbetat en kampanj som riktar sig till östeuropéer som arbetar i kryptovalutaindustrin. Genom att använda falska jobberbjudanden siktar de på att infektera sina offer med en tidigare okänd skadlig kod som spåras som Enigma Stealer. Den hotfulla operationen förlitar sig på en intrikat uppsättning kraftigt obfuskerade laddare som utnyttjar en sårbarhet i en gammal Intel-drivrutin. Denna teknik används för att minska tokenintegriteten hos Microsoft Defender och följaktligen kringgå dess säkerhetsåtgärder.

Alla dessa taktiker används för att få tillgång till konfidentiell data och äventyra offrens maskiner. Detaljer om Enigma Stealer och infrastrukturen för attackkampanjen avslöjades i en rapport från säkerhetsforskare. Enligt deras rön är Enigma en modifierad version av den öppna källkodsprogrammet Stealerium .

Enigma Stealers komplexa infektionskedja

Hotaktörerna bakom Enigma Stealer använder ett illasinnat e-postmeddelande för att attackera sina offer. E-postmeddelandena som låtsas erbjuda jobbmöjligheter inkluderar ett bifogat RAR-arkiv som innehåller en .TXT-fil med intervjufrågor skrivna på kyrilliska, samt en körbar fil som heter 'interview conditions.word.exe'. Om offret förmås att lansera den körbara filen, exekveras en flerstegskedja av nyttolaster, som så småningom laddar ner Enigma-informationsinsamlande skadlig programvara från Telegram.

Nyttolasten i första steget är en C++-nedladdare som använder olika tekniker för att undvika upptäckt när den laddar ner och startar andra stegets nyttolast, 'UpdateTask.dll.' Det här andra skedet utnyttjar tekniken "Bring Your own Vulnerable Driver" (BYOVD) för att utnyttja sårbarheten CVE-2015-2291 Intel, vilket gör att kommandon kan köras med kärnbehörighet. Detta används sedan av hotaktörerna för att inaktivera Microsoft Defender innan skadlig programvara laddar ner den tredje nyttolasten.

Enigma Stealers hotfulla kapacitet

Den tredje nyttolasten som används av hotaktörerna är Enigma Stealer. Den är utformad för att rikta in sig på systeminformation, tokens och lösenord som lagras i webbläsare, som Google Chrome, Microsoft Edge, Opera och mer. Dessutom kan det också ta skärmdumpar från det komprometterade systemet, extrahera urklippsinnehåll och VPN-konfigurationer.

Enigma Stealer kan också rikta in sig på data som lagras i Microsoft Outlook, Telegram, Signal, OpenVPN och andra applikationer. All insamlad information komprimeras till ett ZIP-arkiv ('Data.zip'), som skickas tillbaka till hotaktörerna via Telegram. För att ytterligare dölja sin egen data och förhindra obehörig åtkomst eller manipulering, krypteras några av Enigmas strängar, såsom webbläsarsökvägar och URL:er för Geolocation API-tjänster, i Cipher Block Chaining-läge (CBC) med algoritmen Advanced Encryption Standard (AES).