Enigma Stealer

Російські зловмисники розробили кампанію, націлену на східноєвропейців, які працюють у сфері криптовалют. Використовуючи фальшиві пропозиції роботи, вони прагнуть заразити своїх жертв раніше невідомим зловмисним програмним забезпеченням, яке відстежується як Enigma Stealer. Загрозлива операція спирається на складний набір сильно заплутаних завантажувачів, які використовують вразливість у старому драйвері Intel. Ця техніка використовується для зниження цілісності маркера Microsoft Defender і, як наслідок, обходу його заходів безпеки.

Усі ці тактики використовуються для отримання доступу до конфіденційних даних і компрометації машин жертв. Подробиці про Enigma Stealer та інфраструктуру атаки були розкриті у звіті дослідників безпеки. Згідно з їхніми висновками, Enigma є модифікованою версією шкідливої програми Stealerium з відкритим кодом.

Комплексний ланцюг зараження Enigma Stealer

Зловмисники, що стоять за Enigma Stealer, використовують недоброзичливі електронні листи, щоб атакувати своїх жертв. Електронні листи, нібито пропонують можливості працевлаштування, містять вкладений архів RAR, що містить файл .TXT із запитаннями для співбесіди, написаними кирилицею, а також виконуваний файл під назвою «interview conditions.word.exe». Якщо жертву спонукають запустити виконуваний файл, виконується багатоетапний ланцюжок корисних навантажень, які зрештою завантажують з Telegram шкідливе програмне забезпечення Enigma, що збирає інформацію.

Корисне навантаження першого етапу — це завантажувач C++, який використовує різні методи для уникнення виявлення під час завантаження та запуску корисного навантаження другого етапу «UpdateTask.dll». Цей експлойт другого етапу використовує техніку «Принесіть свій власний вразливий драйвер» (BYOVD) для використання вразливості CVE-2015-2291 Intel, яка дозволяє виконувати команди з правами ядра. Це потім використовується суб’єктами загрози для вимкнення Microsoft Defender до того, як зловмисне програмне забезпечення завантажить третє корисне навантаження.

Загрозливі можливості Enigma Stealer

Третім корисним навантаженням, розгорнутим загрозливими акторами, є Enigma Stealer. Він призначений для націлювання на системну інформацію, маркери та паролі, що зберігаються у веб-браузерах, таких як Google Chrome, Microsoft Edge, Opera тощо. Крім того, він також може робити знімки екрана зламаної системи, витягувати вміст буфера обміну та конфігурації VPN.

Enigma Stealer також здатна вибирати дані, що зберігаються в Microsoft Outlook, Telegram, Signal, OpenVPN та інших програмах. Уся зібрана інформація стискається в ZIP-архів ("Data.zip"), який надсилається назад загрозливим особам через Telegram. Для подальшого приховування власних даних і запобігання несанкціонованому доступу або підробці деякі рядки Enigma, такі як шляхи веб-браузера та URL-адреси служб Geolocation API, шифруються в режимі з’єднання шифрованих блоків (CBC) за допомогою алгоритму Advanced Encryption Standard (AES).