Rätseldieb

Russische Bedrohungsakteure haben eine Kampagne entwickelt, die sich an Osteuropäer richtet, die in der Kryptowährungsindustrie arbeiten. Durch die Verwendung gefälschter Stellenangebote zielen sie darauf ab, ihre Opfer mit einer zuvor unbekannten Malware zu infizieren, die als Enigma Stealer verfolgt wird. Die bedrohliche Operation beruht auf einem komplizierten Satz stark verschleierter Ladeprogramme, die eine Schwachstelle in einem alten Intel-Treiber ausnutzen. Diese Technik wird verwendet, um die Tokenintegrität von Microsoft Defender zu reduzieren und folglich seine Sicherheitsmaßnahmen zu umgehen.

Alle diese Taktiken werden verwendet, um Zugang zu vertraulichen Daten zu erhalten und die Computer der Opfer zu kompromittieren. Details über den Enigma Stealer und die Infrastruktur der Angriffskampagne wurden in einem Bericht von Sicherheitsforschern enthüllt. Ihren Erkenntnissen zufolge handelt es sich bei Enigma um eine modifizierte Version der Open-Source-Malware Stealerium .

Die komplexe Infektionskette von Enigma Stealer

Die Bedrohungsakteure hinter Enigma Stealer verwenden eine übelgesinnte E-Mail, um ihre Opfer anzugreifen. Die E-Mails, die vorgeben, Stellenangebote anzubieten, enthalten ein angehängtes RAR-Archiv, das eine .TXT-Datei mit in Kyrillisch geschriebenen Interviewfragen sowie eine ausführbare Datei namens „interview conditions.word.exe“ enthält. Wenn das Opfer dazu verleitet wird, die ausführbare Datei zu starten, wird eine mehrstufige Kette von Payloads ausgeführt, die schließlich die Enigma-Malware zum Sammeln von Informationen von Telegram herunterlädt.

Die Payload der ersten Stufe ist ein C++-Downloader, der verschiedene Techniken verwendet, um der Erkennung zu entgehen, während er die Payload der zweiten Stufe, „UpdateTask.dll“, herunterlädt und startet. Dieser Exploit der zweiten Stufe nutzt die „Bring Your own Vulnerable Driver“ (BYOVD)-Technik, um die Intel-Schwachstelle CVE-2015-2291 auszunutzen, die es ermöglicht, Befehle mit Kernel-Privilegien auszuführen. Dies wird dann von den Bedrohungsakteuren verwendet, um Microsoft Defender zu deaktivieren, bevor die Malware die dritte Nutzlast herunterlädt.

Bedrohungsfähigkeiten von Enigma Stealer

Die dritte von den Bedrohungsakteuren eingesetzte Nutzlast ist der Enigma Stealer. Es wurde entwickelt, um auf Systeminformationen, Token und Passwörter abzuzielen, die in Webbrowsern wie Google Chrome, Microsoft Edge, Opera und anderen gespeichert sind. Darüber hinaus kann es auch Screenshots vom kompromittierten System aufnehmen, Inhalte aus der Zwischenablage und VPN-Konfigurationen extrahieren.

Der Enigma Stealer ist auch in der Lage, auf Daten abzuzielen, die in Microsoft Outlook, Telegram, Signal, OpenVPN und anderen Anwendungen gespeichert sind. Alle gesammelten Informationen werden in ein ZIP-Archiv ('Data.zip') komprimiert, das per Telegram an die Angreifer zurückgesendet wird. Um die eigenen Daten weiter zu verbergen und unbefugten Zugriff oder Manipulation zu verhindern, werden einige der Zeichenfolgen von Enigma, wie z. B. Webbrowser-Pfade und URLs von Geolocation-API-Diensten, im Cipher Block Chaining (CBC)-Modus mit dem Advanced Encryption Standard (AES)-Algorithmus verschlüsselt.