Bilmece hırsızı

Rus tehdit aktörleri, kripto para endüstrisinde çalışan Doğu Avrupalıları hedef alan bir kampanya tasarladı. Sahte iş tekliflerini kullanarak, kurbanlarına Enigma Stealer olarak izlenen önceden bilinmeyen bir kötü amaçlı yazılım bulaştırmayı hedefliyorlar. Tehdit edici operasyon, eski bir Intel sürücüsündeki bir güvenlik açığından yararlanan karmaşık bir ağır şekilde gizlenmiş yükleyicilere dayanıyor. Bu teknik, Microsoft Defender'ın belirteç bütünlüğünü azaltmak ve sonuç olarak güvenlik önlemlerini atlamak için kullanılır.

Tüm bu taktikler, gizli verilere erişmek ve kurbanların makinelerini ele geçirmek için kullanılır. Enigma Stealer ve saldırı kampanyasının altyapısı hakkındaki ayrıntılar, güvenlik araştırmacıları tarafından hazırlanan bir raporda ortaya çıktı. Bulgularına göre Enigma, açık kaynaklı kötü amaçlı yazılım Stealerium'un değiştirilmiş bir versiyonudur.

Enigma Stealer'ın Karmaşık Enfeksiyon Zinciri

Enigma Stealer'ın arkasındaki tehdit aktörleri, kurbanlarına saldırmak için kötü niyetli bir e-posta kullanıyor. İş fırsatları sunuyormuş gibi görünen e-postalar arasında, Kiril alfabesiyle yazılmış görüşme sorularını içeren bir .TXT dosyasının yanı sıra 'röportaj koşulları.word.exe' adlı bir yürütülebilir dosya içeren ekli bir RAR arşivi yer alır. Kurban yürütülebilir dosyayı başlatmaya teşvik edilirse, sonunda Enigma bilgi toplama kötü amaçlı yazılımını Telegram'dan indiren çok aşamalı bir yük zinciri yürütülür.

Birinci aşama yükü, ikinci aşama yükü olan 'UpdateTask.dll'yi indirirken ve başlatırken algılamadan kaçınmak için çeşitli teknikler kullanan bir C++ indiricisidir. Bu ikinci aşama istismar, komutların Çekirdek ayrıcalıklarıyla yürütülmesine izin veren CVE-2015-2291 Intel güvenlik açığından yararlanmak için 'Kendi Savunmasız Sürücünüzü Getirin' (BYOVD) tekniğinden yararlanır. Bu daha sonra tehdit aktörleri tarafından, kötü amaçlı yazılım üçüncü yükü indirmeden önce Microsoft Defender'ı devre dışı bırakmak için kullanılır.

Enigma Stealer'ın Tehdit Yetenekleri

Tehdit aktörleri tarafından konuşlandırılan üçüncü yük, Enigma Stealer'dır. Google Chrome, Microsoft Edge, Opera ve daha fazlası gibi Web tarayıcılarında depolanan sistem bilgilerini, belirteçleri ve şifreleri hedeflemek için tasarlanmıştır. Ayrıca, güvenliği ihlal edilmiş sistemden ekran görüntüleri yakalayabilir, pano içeriğini ve VPN yapılandırmalarını çıkarabilir.

Enigma Stealer ayrıca Microsoft Outlook, Telegram, Signal, OpenVPN ve diğer uygulamalarda depolanan verileri hedefleyebilir. Toplanan tüm bilgiler, Telegram aracılığıyla tehdit aktörlerine geri gönderilen bir ZIP arşivine ('Data.zip') sıkıştırılır. Kendi verilerini daha fazla gizlemek ve yetkisiz erişimi veya kurcalamayı önlemek için, Web tarayıcısı yolları ve Coğrafi Konum API hizmetleri URL'leri gibi Enigma'nın bazı dizileri, Gelişmiş Şifreleme Standardı (AES) algoritması ile Cipher Block Chaining (CBC) modunda şifrelenir.