Российские угрозы нацелены на криптовалюту с помощью вредоносного ПО Enigma

Угрозы из России проводят кампанию, нацеленную на восточноевропейцев, работающих в индустрии криптовалют, используя поддельные предложения о работе и стремясь заразить работающих профессионалов модифицированной версией вредоносного ПО Stealarium, известного как Enigma.

Теперь, согласно данным компании безопасности Trend Micro, которая отслеживает вредоносные действия, злоумышленники используют неясные загрузчики, которые затем используют старую уязвимость драйвера Intel, что снижает целостность токена Windows Defender и обходит его защиту.

Как и в случае с фишинговыми атаками, это начинается с электронного письма, которое притворяется поддельным предложением о работе, пытаясь соблазнить их. Письмо содержит RAR-архив, который включает TXT, Interview questions.txt и исполняемый файл interview conditions.word.exe.

Читать: Обнаружен новый вариант трояна Royal, нацеленный на виртуальные машины VMware ESXi

Текстовый файл в письме содержит вопросы на кириллице, которые хорошо написаны, чтобы выглядеть аутентично. Если цель обманута и запускает исполняемый файл, загружается ряд загрузчиков, которые в конечном итоге устанавливают вредоносное ПО для кражи информации под названием Enigma из Telegram.

После этого начинается первый этап с Downloader, инструментом на C++, который использует методы, такие как шифрование строк, хеширование API и несущественный код, чтобы избежать обнаружения при загрузке и выполнении своего полезного груза второго этапа UpdateTask.dlll.

Полезный груз второго этапа также написан на C++, который использует метод Bring Your Own Vulnerable Driver, эксплуатируя уязвимость драйвера Intel CVE-2015-2291. Эта уязвимость позволяет выполнять команды с доступом к ядру.

Кроме того, злоумышленники используют эту ошибку и отключают Windows Defender перед загрузкой вредоносного ПО третьего этапа.

Теперь начинается третий этап, когда загружается финальный полезный груз, кража информации Enigma из частного канала Telegram, согласно данным компании безопасности, это модифицированная версия другого вредоносного ПО для кражи информации Stealarium, открытого кода.

Вредоносное ПО для кражи информации нацелено на пароли, хранящиеся в веб-браузерах, таких как Google Chrome, Opera и т. д., а также на токены. Более того, оно также нацелено на данные, хранящиеся в Telegram, Microsoft Outlook, Signal и других. Вредоносное ПО для кражи информации также делает снимки экрана с зараженного устройства и эксфильтрует данные, хранящиеся в буфере обмена.

Наконец, все данные сжимаются в ZIP-файл (Data.zip) и отправляются обратно злоумышленникам через Telegram. Некоторые строки вредоносного ПО, такие как службы API геолокации, зашифрованы с помощью алгоритма AES в режиме цепочки блочного шифрования, чтобы предотвратить и избежать несанкционированного вмешательства.

Хотя компания безопасности не приписывает атаки с уверенностью, она обнаружила несколько вещей, которые указывают на то, что российский злоумышленник стоит за этими атаками, так как один из серверов логирования, использованных в атаке, хостит панель Amaday C2, которая популярна на российских форумах киберпреступности.

Читать: Вымогатель Mimic использует API «Everything» для нацеливания на пользователей Windows на английском и русском языках