Attori della Minaccia Russi Mirano alle Criptovalute con Malware Enigma

Gli attori della minaccia provenienti dalla Russia stanno conducendo una campagna che prende di mira gli europei orientali che lavorano nell’industria delle criptovalute utilizzando offerte di lavoro false e mirano a infettare i professionisti del lavoro con la versione modificata del malware Stealarium, che è Enigma.

Ora, secondo la società di sicurezza Trend Micro, che ha monitorato le attività malevole, gli attori della minaccia utilizzano loader oscuri, che poi sfruttano un vecchio difetto del driver Intel che riduce l’integrità del token di Windows Defender e bypassa la sua protezione.

Come negli attacchi di phishing, tutto inizia con un’email che finge di essere un’offerta di lavoro falsa cercando di tentare le vittime. L’email ha un allegato RAR che include un file TXT, Domande di colloqui.txt, e un file eseguibile, condizioni colloquio.word.exe.

Leggi: Nuova Variante del Trojan Reale Scoperta, Prende di Mira le Macchine Virtuali VMware ESXi

Il file di testo nell’email contiene le domande in lingua cirillica, ben scritte per sembrare autentiche. Se la vittima viene ingannata e avvia il file eseguibile, una serie di payloaders viene scaricata che installa infine il malware di furto di informazioni chiamato Enigma da Telegram.

Dopo che ciò è stato completato, inizia la prima fase con Downloader, uno strumento C++ che utilizza metodi come la crittografia delle stringhe, l’hashing delle API e codice irrilevante per evitare rilevamenti mentre scarica ed esegue il suo payload di seconda fase UpdateTask.dlll.

Bene, il payload della seconda fase è anch’esso in C++, che utilizza il metodo Bring Your Own Vulnerable Driver che sfrutta la vulnerabilità del driver Intel CVE-2015-2291. Questa vulnerabilità consente di eseguire comandi con accesso al kernel.

Inoltre, gli attori della minaccia sfruttano il difetto e disabilitano Windows Defender prima che il malware scarichi il payload di terza fase.

Ora la terza fase inizia quando scarica il payload finale, il ladro di informazioni Enigma da un canale Telegram privato, secondo la società di sicurezza, che è la versione modificata di un altro malware di furto di informazioni di Stealarium, un malware di furto open-source.

Il malware di furto di informazioni prende di mira le password memorizzate nei browser web come Google Chrome, Opera, ecc., e i token. Inoltre, prende di mira anche i dati memorizzati in Telegram, Microsoft Outlook, Signal e altro. Il malware di furto di informazioni prende anche screenshot dal dispositivo infetto ed esfiltra i dati memorizzati negli appunti.

Infine, tutti i dati vengono compressi in un file ZIP (Data.zip) e inviati indietro agli attori della minaccia tramite Telegram. Alcune delle stringhe del malware, come i servizi API di geolocalizzazione, sono crittografate con l’algoritmo AES in modalità di chaining a blocchi per prevenire e evitare manomissioni non autorizzate.

Sebbene la società di sicurezza non abbia attribuito con certezza gli attacchi, ha scoperto diverse cose che indicano che un attore della minaccia russo è dietro questi attacchi, poiché uno dei server di logging utilizzati nell’attacco ospita un pannello Amaday C2 che è popolare nei forum di cybercrime russi.

Leggi: Il Ransomware Mimic Usa l’API ‘Everything’ per Prendere di Mira gli Utenti Windows Inglesi e Russi