Atores de Ameaça Russos Alvo de Criptomoeda com Malware Enigma

Atores de ameaça da Rússia estão conduzindo uma campanha que visa europeus orientais que trabalham na indústria de criptomoedas, utilizando ofertas de emprego falsas e visando infectar o profissional com a versão modificada do malware Stealarium, que é o Enigma.

Agora, de acordo com a empresa de segurança Trend Micro, que tem monitorado as atividades maliciosas, os atores de ameaça usam carregadores obscuros, que então utilizam uma falha antiga do driver da Intel que reduz a integridade do token do Windows Defender e contorna sua proteção.

Assim como nos ataques de phishing, isso começa com um e-mail que finge ser uma oferta de emprego falsa tentando atraí-los. O e-mail tem um anexo RAR que inclui um TXT, Perguntas de Entrevista.txt, e um arquivo executável, condições da entrevista.word.exe.

Leia: Nova Variante do Cavalo de Troia Royal Descoberta, Alvo de Máquinas Virtuais VMware ESXi

O arquivo de texto no e-mail contém as perguntas em língua cirílica, que são bem escritas para parecer autênticas. Se o alvo for enganado e lançar o arquivo executável, uma série de carregadores é baixada que eventualmente instala o malware de roubo de informações chamado Enigma do Telegram.

Depois que isso é feito, a primeira fase começa com o Downloader, uma ferramenta C++ que usa métodos como criptografia de strings, hashing de API e código irrelevante para evitar detecções enquanto baixa e executa sua carga útil de segunda fase UpdateTask.dlll.

Bem, a carga útil da segunda fase também está em C++, que usa o método Bring Your Own Vulnerable Driver que explora a vulnerabilidade do driver Intel CVE-2015-2291. Essa vulnerabilidade permite que os comandos sejam executados com acesso ao Kernel.

Além disso, os atores de ameaça exploram a falha e desativam o Windows Defender antes que o malware baixe a carga útil da terceira fase.

Agora a terceira fase começa quando baixa a carga útil final, o ladrão de informações Enigma de um canal privado do Telegram, conforme a empresa de segurança que é a versão modificada de outro malware de roubo de informações do Stealarium, um malware de roubo de código aberto.

O malware de roubo de informações visa senhas armazenadas em navegadores da web como Google Chrome, Opera, etc., e tokens. Além disso, também visa os dados armazenados no Telegram, Microsoft Outlook, Signal e mais. O malware de roubo de informações também tira capturas de tela do dispositivo infectado e exfiltra os dados armazenados na área de transferência.

Finalmente, todos os dados são compactados em um arquivo ZIP (Data.zip) e enviados de volta aos atores de ameaça via Telegram. Algumas das strings do malware, como os serviços da API de Geolocalização, são criptografadas com o algoritmo AES em modo de encadeamento de bloco para prevenir e evitar adulterações não autorizadas.

Embora a empresa de segurança não tenha atribuído os ataques com confiança, descobriu várias coisas que indicam que um ator de ameaça russo está por trás desses ataques, já que um dos servidores de registro usados no ataque hospeda um painel Amaday C2 que é popular nos fóruns de cibercrime russos.

Leia: Ransomware Mimic Usa API ‘Everything’ para Alvo de Usuários do Windows em Inglês e Russo