Το Enigma Stealer διανέμεται με χρήση Malspam

Οι ερευνητές της TrendMicro αποκάλυψαν πρόσφατα μια ενεργή καμπάνια που στοχεύει Ανατολικοευρωπαίους στον κλάδο των κρυπτονομισμάτων. Οι εισβολείς χρησιμοποιούν ένα ψεύτικο πρόσχημα εργασίας για να εγκαταστήσουν μια τροποποιημένη έκδοση του συστήματος κλοπής πληροφοριών Stealerium, γνωστό ως Enigma Stealer. Επιπλέον, εκμεταλλεύονται το CVE-2015-2291, μια ευπάθεια του προγράμματος οδήγησης της Intel, για να φορτώσουν ένα κακόβουλο πρόγραμμα οδήγησης που μειώνει την ακεραιότητα του διακριτικού του Microsoft Defender.

Το Stealerium είναι ένα έργο ανοιχτού κώδικα γραμμένο σε C# και διατίθεται στην αγορά ως stealer, clipper και keylogger με δυνατότητες καταγραφής χρησιμοποιώντας το Telegram API.

Η αλυσίδα μόλυνσης ξεκινά με ένα κακόβουλο αρχείο RAR που ονομάζεται contract.rar το οποίο διανέμεται μέσω προσπαθειών phishing ή μέσων κοινωνικής δικτύωσης. Περιέχει δύο αρχεία. Συνέντευξη ερωτήσεις.txt και Συνέντευξη condition.word.exe που δημιουργούν το πρόσχημα για έναν ρόλο ψεύτικο κρυπτονομίσματος ή για άνοιγμα εργασίας. Το πρώτο περιέχει δείγματα ερωτήσεων συνέντευξης γραμμένες στα κυριλλικά, ενώ το δεύτερο μεταμφιέζεται ως νόμιμο έγγραφο word, αλλά στην πραγματικότητα περιέχει το πρώτο στάδιο Enigma loader. Μόλις εκτελεστεί, καταχωρεί και κατεβάζει το ωφέλιμο φορτίο δεύτερου σταδίου.

Οι ομάδες ασφαλείας και οι μεμονωμένοι χρήστες θα πρέπει να ενημερώνουν τις λύσεις ασφαλείας τους και να γνωρίζουν κάθε ύποπτη ευκαιρία εργασίας ή δέλεαρ αύξησης μισθού από άγνωστες πηγές.

Τι είναι το κακόβουλο λογισμικό infostealer, παρόμοιο με το Enigma Stealer;

Το κακόβουλο λογισμικό Infostealer είναι κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες από τον υπολογιστή του θύματος, όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και άλλα προσωπικά δεδομένα. Είναι παρόμοιο με το Enigma Stealer στο ότι χρησιμοποιείται από φορείς απειλών για να αποκτήσουν πρόσβαση σε εμπιστευτικές πληροφορίες χωρίς τη γνώση ή τη συγκατάθεση του θύματος.

Πώς χρησιμοποιούν οι φορείς απειλών την κοινωνική μηχανική και τα δέλεαρ για να παρασύρουν κακόβουλο λογισμικό μέσω phishing;

Οι δράστες απειλών χρησιμοποιούν κοινωνική μηχανική και δέλεαρ για να παρασύρουν κακόβουλο λογισμικό μέσω του phishing, δημιουργώντας πειστικά προσχήματα που φαίνονται θεμιτά. Αυτό μπορεί να περιλαμβάνει την αποστολή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή μηνυμάτων με συνημμένα ή συνδέσμους που φαίνεται να προέρχονται από αξιόπιστη πηγή, όπως μια ευκαιρία εργασίας ή αύξηση μισθού. Το κακόβουλο συνημμένο ή ο σύνδεσμος θα κατεβάσει στη συνέχεια το κακόβουλο λογισμικό στον υπολογιστή του θύματος, επιτρέποντας στον παράγοντα απειλής να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες χωρίς τη γνώση ή τη συγκατάθεση του θύματος.