Actores de Amenaza Rusos Apuntan a Criptomonedas con Malware Enigma

Los actores de amenaza de Rusia están llevando a cabo una campaña que apunta a los europeos del este que trabajan en la industria de las criptomonedas utilizando ofertas de trabajo falsas y buscando infectar a los profesionales con una versión modificada del malware Stealarium que es Enigma.

Ahora, según la firma de seguridad Trend Micro, que ha estado rastreando las actividades maliciosas, los actores de amenaza utilizan cargadores oscuros, que luego utilizan un viejo fallo del controlador de Intel que reduce la integridad del token de Windows Defender y elude su protección.

Al igual que con los ataques de phishing, esto comienza con un correo electrónico que pretende ser una oferta de trabajo falsa tratando de tentar a las víctimas. El correo electrónico tiene un archivo RAR que incluye un TXT, Preguntas de entrevista.txt, y un archivo ejecutable, condiciones de entrevista.word.exe.

Leer: Nueva Variante de Troyano Real Descubierta, Apunta a Máquinas Virtuales VMware ESXi

El archivo de texto en el correo electrónico contiene las preguntas en idioma cirílico, que están bien redactadas para que parezcan auténticas. Si la víctima es engañada y lanza el archivo ejecutable, se descarga una serie de cargadores que eventualmente instalan el malware de robo de información llamado Enigma desde Telegram.

Después de que eso se complete, comienza la primera fase con Downloader, una herramienta en C++ que utiliza métodos como cifrados de cadenas, hash de API y código irrelevante para evitar detecciones mientras descarga y ejecuta su carga útil de segunda etapa UpdateTask.dlll.

Bueno, la carga útil de la segunda fase también está en C++, que utiliza el método Bring Your Own Vulnerable Driver que explota la vulnerabilidad del controlador de Intel CVE-2015-2291. Esta vulnerabilidad permite que los comandos se realicen con acceso al núcleo.

Además, los actores de amenaza explotan la falla y desactivan el Windows Defender antes de que el malware descargue la carga útil de tercera fase.

Ahora la tercera fase comienza cuando descarga la carga útil final, el ladrón de información Enigma desde un canal privado de Telegram, según la firma de seguridad, que es la versión modificada de otro malware de robo de información de Stealarium, un malware de código abierto.

El malware de robo de información apunta a las contraseñas almacenadas en navegadores web como Google Chrome, Opera, etc., y tokens. Además, también apunta a los datos almacenados en Telegram, Microsoft Outlook, Signal y más. El malware de robo de información también toma capturas de pantalla del dispositivo infectado y exfiltra los datos almacenados en el portapapeles.

Finalmente, todos los datos se comprimen en el archivo ZIP (Data.zip) y se envían de vuelta a los actores de amenaza a través de Telegram. Algunas de las cadenas del malware, como los servicios de API de geolocalización, están cifradas con el algoritmo AES en modo de encadenamiento de bloques para prevenir y evitar manipulaciones no autorizadas.

Aunque la firma de seguridad no ha atribuido los ataques con confianza, ha descubierto varias cosas que indican que un actor de amenaza ruso está detrás de estos ataques, ya que uno de los servidores de registro utilizados en el ataque alberga un panel Amaday C2 que es popular en los foros de cibercriminalidad rusos.

Leer: El Ransomware Mimic Usa la API ‘Everything’ para Apuntar a Usuarios de Windows en Inglés y Ruso