Les acteurs de la menace russes ciblent la cryptomonnaie avec le malware Enigma

Les acteurs de la menace en Russie mènent une campagne qui cible les Européens de l’Est travaillant dans l’industrie de la cryptomonnaie en utilisant de fausses offres d’emploi et visant à infecter le professionnel en activité avec la version modifiée du malware Stealarium qui est Enigma.

Maintenant, selon la société de sécurité Trend Micro, qui suit les activités malveillantes, les acteurs de la menace utilisent des chargeurs obscurs, qui exploitent ensuite une ancienne faille de pilote Intel qui réduit l’intégrité du jeton de Windows Defender et contourne sa protection.

Comme avec les attaques de phishing, cela commence par un e-mail qui prétend être une fausse offre d’emploi essayant de les tenter. L’e-mail a une pièce jointe RAR qui comprend un fichier TXT, Interview questions.txt, et un fichier exécutable, interview conditions.word.exe.

Lire : Nouvelle variante de Trojan Royal découverte, cible les machines virtuelles VMware ESXi

Le fichier texte dans l’e-mail contient les questions en langue cyrillique, qui sont bien rédigées pour paraître authentiques. Si la cible se laisse piéger et lance le fichier exécutable, une série de chargeurs est téléchargée qui installe finalement le malware de vol d’informations appelé Enigma depuis Telegram.

Après cela, la première phase commence avec Downloader, un outil C++ qui utilise des méthodes comme le chiffrement de chaînes, le hachage d’API et du code non pertinent pour éviter les détections tout en téléchargeant et en exécutant son charge utile de deuxième étape UpdateTask.dlll.

Eh bien, la charge utile de la deuxième phase est également en C++, qui utilise la méthode Bring Your Own Vulnerable Driver qui exploite la vulnérabilité du pilote Intel CVE-2015-2291. Cette vulnérabilité permet d’exécuter des commandes avec un accès au noyau.

De plus, les acteurs de la menace exploitent la faille et désactivent Windows Defender avant que le malware ne télécharge la charge utile de la troisième phase.

Maintenant, la troisième phase commence lorsqu’elle télécharge la charge utile finale, le voleur d’informations Enigma depuis un canal Telegram privé, selon la société de sécurité, c’est la version modifiée de l’autre malware de vol d’informations Stealarium, un malware de vol open-source.

Le malware de vol d’informations cible les mots de passe stockés dans les navigateurs web comme Google Chrome, Opera, etc., et les jetons. De plus, il cible également les données stockées dans Telegram, Microsoft Outlook, Signal et plus encore. Le malware de vol d’informations prend également des captures d’écran de l’appareil infecté et exfiltre les données stockées dans le presse-papiers.

Enfin, toutes les données sont compressées dans le fichier ZIP (Data.zip) et renvoyées aux acteurs de la menace via Telegram. Certaines des chaînes du malware, comme les services API de géolocalisation, sont chiffrées avec l’algorithme AES en mode de chaînage de blocs pour prévenir et éviter toute manipulation non autorisée.

Bien que la société de sécurité n’ait pas attribué les attaques avec certitude, elle a découvert plusieurs éléments qui indiquent qu’un acteur de menace russe est derrière ces attaques, car l’un des serveurs de journalisation utilisés dans l’attaque héberge un panneau Amaday C2 qui est populaire sur les forums de cybercriminalité russes.

Lire : Le ransomware Mimic utilise l’API ‘Everything’ pour cibler les utilisateurs de Windows anglais et russes