ผู้ขโมยปริศนา
ผู้ก่อภัยคุกคามชาวรัสเซียได้คิดค้นแคมเปญที่มีเป้าหมายเป็นชาวยุโรปตะวันออกที่ทำงานในอุตสาหกรรมสกุลเงินดิจิทัล ด้วยการใช้ข้อเสนองานปลอม พวกเขาตั้งเป้าที่จะแพร่เชื้อให้เหยื่อด้วยมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ซึ่งติดตามในชื่อ Enigma Stealer การดำเนินการที่เป็นภัยคุกคามอาศัยชุดตัวโหลดที่มีความซับซ้อนมากซึ่งใช้ประโยชน์จากช่องโหว่ในไดรเวอร์ Intel รุ่นเก่า เทคนิคนี้ใช้เพื่อลดความสมบูรณ์ของโทเค็นของ Microsoft Defender และส่งผลให้ข้ามมาตรการรักษาความปลอดภัย
กลวิธีเหล่านี้ใช้เพื่อเข้าถึงข้อมูลลับและบุกรุกเครื่องของเหยื่อ รายละเอียดเกี่ยวกับ Enigma Stealer และโครงสร้างพื้นฐานของแคมเปญการโจมตีได้รับการเปิดเผยในรายงานโดยนักวิจัยด้านความปลอดภัย จากการค้นพบของพวกเขา Enigma เป็นมัลแวร์โอเพ่นซอร์ส Stealerium เวอร์ชันดัดแปลง
ห่วงโซ่การติดเชื้อที่ซับซ้อนของ Enigma Stealer
ผู้คุกคามที่อยู่เบื้องหลัง Enigma Stealer กำลังใช้อีเมลที่ไร้เหตุผลเพื่อโจมตีเหยื่อของพวกเขา อีเมลที่แสร้งทำเป็นเสนอโอกาสในการทำงานรวมถึงไฟล์เก็บถาวร RAR ที่แนบมาซึ่งมีไฟล์ .TXT พร้อมคำถามสัมภาษณ์ที่เขียนด้วยอักษรซีริลลิก รวมถึงไฟล์เรียกทำงานที่เรียกว่า 'interview condition.word.exe' หากเหยื่อถูกชักจูงให้เปิดโปรแกรมปฏิบัติการ ห่วงโซ่เพย์โหลดแบบหลายขั้นตอนจะถูกดำเนินการ ซึ่งจะดาวน์โหลดมัลแวร์ที่รวบรวมข้อมูล Enigma จาก Telegram ในที่สุด
เพย์โหลดขั้นที่หนึ่งคือตัวดาวน์โหลด C++ ที่ใช้เทคนิคต่างๆ เพื่อหลบเลี่ยงการตรวจจับขณะดาวน์โหลดและเรียกใช้เพย์โหลดขั้นที่สอง 'UpdateTask.dll' ช่องโหว่ขั้นที่สองนี้ใช้ประโยชน์จากเทคนิค 'Bring Your own Vulnerable Driver' (BYOVD) เพื่อใช้ประโยชน์จากช่องโหว่ CVE-2015-2291 ของ Intel ซึ่งอนุญาตให้ดำเนินการคำสั่งด้วยสิทธิ์เคอร์เนล จากนั้นผู้คุกคามจะใช้สิ่งนี้เพื่อปิดการใช้งาน Microsoft Defender ก่อนที่มัลแวร์จะดาวน์โหลดเพย์โหลดที่สาม
ความสามารถที่คุกคามของ Enigma Stealer
เพย์โหลดที่สามที่ถูกนำไปใช้โดยผู้คุกคามคือ Enigma Stealer ออกแบบมาเพื่อกำหนดเป้าหมายข้อมูลระบบ โทเค็น และรหัสผ่านที่จัดเก็บไว้ในเว็บเบราว์เซอร์ เช่น Google Chrome, Microsoft Edge, Opera และอื่นๆ นอกจากนี้ยังอาจจับภาพหน้าจอจากระบบที่ถูกบุกรุก แยกเนื้อหาคลิปบอร์ดและการกำหนดค่า VPN
Enigma Stealer ยังสามารถกำหนดเป้าหมายข้อมูลที่จัดเก็บไว้ใน Microsoft Outlook, Telegram, Signal, OpenVPN และแอปพลิเคชันอื่นๆ ข้อมูลที่รวบรวมทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP ('Data.zip') ซึ่งจะถูกส่งกลับไปยังผู้คุกคามผ่านทาง Telegram เพื่อปกปิดข้อมูลของตัวเองเพิ่มเติมและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการดัดแปลง สตริงบางส่วนของ Enigma เช่น เส้นทางเว็บเบราว์เซอร์และ URL ของบริการ Geolocation API จะถูกเข้ารหัสในโหมด Cipher Block Chaining (CBC) ด้วยอัลกอริธึมมาตรฐานการเข้ารหัสขั้นสูง (AES)
