Voleur d'énigmes

Les acteurs russes de la menace ont conçu une campagne qui cible les Européens de l'Est travaillant dans l'industrie de la crypto-monnaie. En utilisant de fausses offres d'emploi, ils visent à infecter leurs victimes avec un logiciel malveillant jusqu'alors inconnu suivi sous le nom d'Enigma Stealer. L'opération menaçante repose sur un ensemble complexe de chargeurs fortement obscurcis qui exploitent une vulnérabilité dans un ancien pilote Intel. Cette technique est utilisée pour réduire l'intégrité des jetons de Microsoft Defender et par conséquent contourner ses mesures de sécurité.

Toutes ces tactiques sont utilisées pour accéder à des données confidentielles et compromettre les machines des victimes. Des détails sur l'Enigma Stealer et l'infrastructure de la campagne d'attaque ont été révélés dans un rapport de chercheurs en sécurité. Selon leurs conclusions, Enigma est une version modifiée du malware open source Stealerium .

Chaîne d'infection complexe d'Enigma Stealer

Les acteurs de la menace derrière Enigma Stealer utilisent un e-mail malveillant pour attaquer leurs victimes. Les e-mails prétendant offrir des opportunités d'emploi incluent une archive RAR jointe contenant un fichier .TXT avec des questions d'entretien écrites en cyrillique, ainsi qu'un exécutable appelé "interview conditions.word.exe". Si la victime est incitée à lancer l'exécutable, une chaîne de charges utiles en plusieurs étapes est exécutée, qui télécharge finalement le logiciel malveillant de collecte d'informations Enigma à partir de Telegram.

La charge utile de la première étape est un téléchargeur C++ qui utilise diverses techniques pour échapper à la détection lors du téléchargement et du lancement de la charge utile de la deuxième étape, "UpdateTask.dll". Cet exploit de deuxième étape exploite la technique "Bring Your Own Vulnerable Driver" (BYOVD) pour exploiter la vulnérabilité Intel CVE-2015-2291, qui permet d'exécuter des commandes avec les privilèges du noyau. Ceci est ensuite utilisé par les acteurs de la menace pour désactiver Microsoft Defender avant que le logiciel malveillant ne télécharge la troisième charge utile.

Capacités menaçantes d'Enigma Stealer

La troisième charge utile déployée par les acteurs de la menace est l'Enigma Stealer. Il est conçu pour cibler les informations système, les jetons et les mots de passe stockés dans les navigateurs Web, tels que Google Chrome, Microsoft Edge, Opera, etc. En outre, il peut également capturer des captures d'écran du système compromis, extraire le contenu du presse-papiers et les configurations VPN.

Enigma Stealer est également capable de cibler les données stockées dans Microsoft Outlook, Telegram, Signal, OpenVPN et d'autres applications. Toutes les informations collectées sont compressées dans une archive ZIP ("Data.zip"), qui est renvoyée aux acteurs de la menace via Telegram. Pour dissimuler davantage ses propres données et empêcher tout accès non autorisé ou falsification, certaines des chaînes d'Enigma, telles que les chemins de navigateur Web et les URL des services API de géolocalisation, sont cryptées en mode Cipher Block Chaining (CBC) avec l'algorithme Advanced Encryption Standard (AES).