Enigma Stealer distribueret ved hjælp af Malspam
TrendMicro-forskere afslørede for nylig en aktiv kampagne, der er rettet mod østeuropæere i kryptovalutaindustrien. Angriberne bruger et falsk jobpåskud til at installere en modificeret version af Stealerium informationstyveren, kendt som Enigma Stealer. Derudover udnytter de CVE-2015-2291, en Intel-driversårbarhed, til at indlæse en ondsindet driver, som reducerer token-integriteten af Microsoft Defender.
Stealerium er et open source-projekt skrevet i C# og markedsføres som en stealer, clipper og keylogger med logningsfunktioner ved hjælp af Telegram API.
Infektionskæden begynder med et ondsindet RAR-arkiv kaldet contract.rar, som distribueres via phishing-forsøg eller sociale medier. Den indeholder to filer; Interview question.txt og Interview conditions.word.exe, som opretter påskud for en falsk kryptovaluta-rolle eller jobåbning. Førstnævnte indeholder eksempler på interviewspørgsmål skrevet på kyrillisk, mens sidstnævnte udgiver sig som et legitimt word-dokument, men faktisk indeholder første fase Enigma-indlæser. Når den er udført, registrerer og downloader den anden trins nyttelast.
Sikkerhedsteams og individuelle brugere bør holde deres sikkerhedsløsninger opdaterede og være opmærksomme på eventuelle mistænkelige jobmuligheder eller lønstigninger fra ukendte kilder.
Hvad er infostealer malware, der ligner Enigma Stealer?
Infostealer malware er ondsindet software designet til at stjæle følsomme oplysninger fra et offers computer, såsom adgangskoder, kreditkortnumre og andre personlige data. Den ligner Enigma Stealer, idet den bruges af trusselsaktører til at få adgang til fortrolige oplysninger uden ofrets viden eller samtykke.
Hvordan bruger trusselsaktører social engineering og lokker til at slippe malware gennem phishing?
Trusselaktører bruger social engineering og lokker til at slippe malware gennem phishing ved at skabe overbevisende påskud, der virker legitime. Dette kan omfatte afsendelse af ondsindede e-mails eller beskeder med vedhæftede filer eller links, der ser ud til at være fra en pålidelig kilde, såsom en jobmulighed eller lønstigning. Den ondsindede vedhæftning eller link vil derefter downloade malwaren til offerets computer, hvilket giver trusselsaktøren mulighed for at få adgang til fortrolige oplysninger uden offerets viden eller samtykke.
