Russische Bedrohungsakteure zielen auf Kryptowährung mit Enigma-Malware ab

Bedrohungsakteure aus Russland führen eine Kampagne durch, die sich gegen Osteuropäer richtet, die in der Kryptowährungsbranche arbeiten, indem sie gefälschte Stellenangebote verwenden und darauf abzielen, die berufstätigen Personen mit der modifizierten Version der Stealarium-Malware, die Enigma ist, zu infizieren.

Laut dem Sicherheitsunternehmen Trend Micro, das die bösartigen Aktivitäten verfolgt, verwenden die Bedrohungsakteure obskure Loader, die dann eine alte Intel-Treiberanfälligkeit nutzen, die die Token-Integrität des Windows Defender verringert und dessen Schutz umgeht.

Wie bei Phishing-Angriffen beginnt dies mit einer E-Mail, die vorgibt, ein gefälschtes Stellenangebot zu sein, um sie zu verleiten. Die E-Mail hat einen RAR-Anhang, der eine TXT-Datei, Interview questions.txt, und eine ausführbare Datei, interview conditions.word.exe, enthält.

Lesen: Neue Royal Trojan-Variante entdeckt, zielt auf VMware ESXi-virtuelle Maschinen ab

Die Textdatei in der E-Mail enthält die Fragen in kyrillischer Schrift, die gut geschrieben sind, um authentisch zu wirken. Wenn das Ziel dann hereingelegt wird und die ausführbare Datei startet, wird eine Reihe von Payloadern heruntergeladen, die schließlich die Informationsdiebstahl-Malware namens Enigma von Telegram installiert.

Danach beginnt die erste Phase mit Downloader, einem C++-Tool, das Methoden wie String-Verschlüsselungen, API-Hashing und irrelevanten Code verwendet, um Erkennungen zu vermeiden, während es seine zweite Phase Payload UpdateTask.dlll herunterlädt und ausführt.

Nun, die Payload der zweiten Phase ist ebenfalls in C++, die die Bring Your Own Vulnerable Driver-Methode verwendet, die die CVE-2015-2291 Intel-Treiberanfälligkeit ausnutzt. Diese Anfälligkeit ermöglicht es, Befehle mit Kernel-Zugriff auszuführen.

Außerdem nutzen die Bedrohungsakteure den Fehler aus und deaktivieren den Windows Defender, bevor die Malware die Payload der dritten Phase herunterlädt.

Jetzt beginnt die dritte Phase, wenn sie die endgültige Payload, den Enigma-Informationsdiebstahl von einem privaten Telegram-Kanal herunterlädt, da das Sicherheitsunternehmen festgestellt hat, dass es sich um die modifizierte Version der anderen informationsdiebstahlenden Malware von Stealarium handelt, einer Open-Source-Diebstahl-Malware.

Die informationsdiebstahlende Malware zielt auf Passwörter ab, die in Webbrowsern wie Google Chrome, Opera usw. gespeichert sind, sowie auf Tokens. Darüber hinaus zielt sie auch auf die Daten ab, die in Telegram, Microsoft Outlook, Signal und mehr gespeichert sind. Die informationsdiebstahlende Malware macht auch Screenshots vom infizierten Gerät und exfiltriert die Daten, die in der Zwischenablage gespeichert sind.

Schließlich werden alle Daten in die ZIP-Datei (Data.zip) komprimiert und über Telegram an die Bedrohungsakteure zurückgesendet. Einige der Strings der Malware, wie die Geolocation-API-Dienste, sind mit dem AES-Algorithmus im Cipher-Block-Chaining-Modus verschlüsselt, um unbefugte Manipulationen zu verhindern und zu vermeiden.

Obwohl das Sicherheitsunternehmen die Angriffe nicht mit Sicherheit zugeordnet hat, hat es mehrere Dinge entdeckt, die darauf hindeuten, dass ein russischer Bedrohungsakteur hinter diesen Angriffen steckt, da einer der Logging-Server, der bei dem Angriff verwendet wurde, ein Amaday C2-Panel hostet, das in den russischen Cybercrime-Foren beliebt ist.

Lesen: Mimic-Ransomware verwendet die „Everything“-API, um englische und russische Windows-Benutzer anzugreifen