Giảm giá nhiều giấy phép
Threat Database Malware Kẻ đánh cắp bí ẩn

Kẻ đánh cắp bí ẩn

Đến năm Mezo năm Malware, Stealers
Dịch sang:
Tiếng Việt Nam

Các tác nhân đe dọa của Nga đã nghĩ ra một chiến dịch nhắm mục tiêu đến những người Đông Âu làm việc trong ngành công nghiệp tiền điện tử. Bằng cách sử dụng các lời mời làm việc giả, chúng nhằm mục đích lây nhiễm cho nạn nhân của mình một phần mềm độc hại chưa từng được biết đến trước đây có tên là Enigma Stealer. Hoạt động đe dọa dựa trên một tập hợp phức tạp các trình tải bị xáo trộn nặng nề khai thác lỗ hổng trong trình điều khiển Intel cũ. Kỹ thuật này được sử dụng để giảm tính toàn vẹn của mã thông báo của Bộ bảo vệ Microsoft và do đó bỏ qua các biện pháp bảo mật của nó.

Tất cả các chiến thuật này được sử dụng để giành quyền truy cập vào dữ liệu bí mật và xâm phạm máy của nạn nhân. Chi tiết về Enigma Stealer và cơ sở hạ tầng của chiến dịch tấn công đã được tiết lộ trong một báo cáo của các nhà nghiên cứu bảo mật. Theo phát hiện của họ, Enigma là phiên bản sửa đổi của phần mềm độc hại mã nguồn mở Stealerium .

Chuỗi lây nhiễm phức tạp của Enigma Stealer

Những kẻ đe dọa đằng sau Kẻ đánh cắp bí ẩn đang sử dụng một email ác ý để tấn công nạn nhân của chúng. Các email giả vờ cung cấp cơ hội việc làm bao gồm một kho lưu trữ RAR đính kèm chứa tệp .TXT với các câu hỏi phỏng vấn được viết bằng chữ Cyrillic, cũng như một tệp thực thi có tên là 'interviewconditions.word.exe.' Nếu nạn nhân bị dụ khởi chạy tệp thực thi, một chuỗi tải trọng nhiều giai đoạn sẽ được thực thi, chuỗi tải trọng này cuối cùng sẽ tải xuống phần mềm độc hại thu thập thông tin Enigma từ Telegram.

Tải trọng giai đoạn một là trình tải xuống C++ sử dụng các kỹ thuật khác nhau để tránh bị phát hiện trong khi tải xuống và khởi chạy tải trọng giai đoạn hai, 'UpdateTask.dll.' Khai thác giai đoạn thứ hai này tận dụng kỹ thuật 'Bring Your own Vulnerable Driver' (BYOVD) để khai thác lỗ hổng CVE-2015-2291 của Intel, cho phép các lệnh được thực thi với các đặc quyền Kernel. Điều này sau đó được các tác nhân đe dọa sử dụng để vô hiệu hóa Bộ bảo vệ Microsoft trước khi phần mềm độc hại tải trọng thứ ba xuống.

Khả năng đe dọa của Enigma Stealer

Tải trọng thứ ba được triển khai bởi các tác nhân đe dọa là Enigma Stealer. Nó được thiết kế để nhắm mục tiêu thông tin hệ thống, mã thông báo và mật khẩu được lưu trữ trong các trình duyệt Web, chẳng hạn như Google Chrome, Microsoft Edge, Opera, v.v. Hơn nữa, nó cũng có thể chụp ảnh màn hình từ hệ thống bị xâm nhập, trích xuất nội dung trong khay nhớ tạm và cấu hình VPN.

Enigma Stealer cũng có khả năng nhắm mục tiêu dữ liệu được lưu trữ trong Microsoft Outlook, Telegram, Signal, OpenVPN và các ứng dụng khác. Tất cả thông tin đã thu thập được nén vào một kho lưu trữ ZIP ('Data.zip'), được gửi lại cho các tác nhân đe dọa thông qua Telegram. Để tiếp tục che giấu dữ liệu của riêng mình và ngăn truy cập trái phép hoặc giả mạo, một số chuỗi của Enigma, chẳng hạn như đường dẫn trình duyệt Web và URL dịch vụ API định vị địa lý, được mã hóa ở chế độ Chuỗi khối mật mã (CBC) bằng thuật toán Tiêu chuẩn mã hóa nâng cao (AES).

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...