Enigma Stealer

Ang mga aktor ng pagbabanta ng Russia ay gumawa ng isang kampanya na nagta-target sa mga Eastern European na nagtatrabaho sa industriya ng cryptocurrency. Sa pamamagitan ng paggamit ng mga pekeng alok sa trabaho, nilalayon nilang mahawahan ang kanilang mga biktima ng dati nang hindi kilalang malware na sinusubaybayan bilang Enigma Stealer. Ang nagbabantang operasyon ay umaasa sa isang masalimuot na hanay ng mga mabibigat na naka-obfuscated na loader na nagsasamantala sa isang kahinaan sa isang lumang driver ng Intel. Ginagamit ang diskarteng ito upang bawasan ang integridad ng token ng Microsoft Defender at dahil dito ay i-bypass ang mga hakbang sa seguridad nito.

Ang lahat ng mga taktikang ito ay ginagamit upang makakuha ng access sa kumpidensyal na data at ikompromiso ang mga makina ng mga biktima. Ang mga detalye tungkol sa Enigma Stealer at ang imprastraktura ng kampanya sa pag-atake ay inihayag sa isang ulat ng mga mananaliksik sa seguridad. Ayon sa kanilang mga natuklasan, ang Enigma ay isang binagong bersyon ng open-source na malware na Stealerium .

Ang Complex Infection Chain ng Enigma Stealer

Ang mga banta ng aktor sa likod ng Enigma Stealer ay gumagamit ng isang masamang pag-iisip na email upang atakehin ang kanilang mga biktima. Kasama sa mga email na nagpapanggap na nag-aalok ng mga pagkakataon sa trabaho ang isang naka-attach na RAR archive na naglalaman ng .TXT file na may mga tanong sa panayam na nakasulat sa Cyrillic, pati na rin ang isang executable na tinatawag na 'interview conditions.word.exe.' Kung ang biktima ay mahikayat na ilunsad ang executable, isang multi-stage na chain ng mga payload ang ipapatupad, na kalaunan ay nagda-download ng Enigma information-collecting malware mula sa Telegram.

Ang first-stage payload ay isang C++ downloader na gumagamit ng iba't ibang mga diskarte upang maiwasan ang pag-detect habang nagda-download at naglulunsad ng second-stage na payload, 'UpdateTask.dll.' Ang ikalawang yugto ng pagsasamantalang ito ay gumagamit ng 'Bring Your own Vulnerable Driver' (BYOVD) na pamamaraan upang samantalahin ang CVE-2015-2291 Intel vulnerability, na nagpapahintulot sa mga command na maisagawa nang may mga pribilehiyo ng Kernel. Ito ay pagkatapos ay ginagamit ng mga aktor ng pagbabanta upang huwag paganahin ang Microsoft Defender bago i-download ng malware ang ikatlong payload.

Mga Kakayahang Pagbabanta ng Enigma Stealer

Ang ikatlong payload na ipinakalat ng mga aktor ng pagbabanta ay ang Enigma Stealer. Ito ay dinisenyo upang i-target ang impormasyon ng system, mga token, at mga password na nakaimbak sa mga Web browser, tulad ng Google Chrome, Microsoft Edge, Opera at higit pa. Higit pa rito, maaari rin itong kumuha ng mga screenshot mula sa nakompromisong system, kunin ang nilalaman ng clipboard at mga pagsasaayos ng VPN.

Ang Enigma Stealer ay may kakayahang mag-target ng data na nakaimbak sa Microsoft Outlook, Telegram, Signal, OpenVPN at iba pang mga application. Ang lahat ng nakolektang impormasyon ay na-compress sa isang ZIP archive ('Data.zip'), na ibinabalik sa mga aktor ng pagbabanta sa pamamagitan ng Telegram. Upang higit pang itago ang sarili nitong data at maiwasan ang hindi awtorisadong pag-access o pakikialam, ang ilan sa mga string ng Enigma, tulad ng mga path ng Web browser at mga URL ng serbisyo ng Geolocation API, ay naka-encrypt sa Cipher Block Chaining (CBC) mode gamit ang Advanced Encryption Standard (AES) algorithm.