Enigma Stealer Distribuido usando Malspam

Los investigadores de TrendMicro descubrieron recientemente una campaña activa dirigida a los europeos del este en la industria de las criptomonedas. Los atacantes están utilizando un pretexto de trabajo falso para instalar una versión modificada del ladrón de información Stealerium, conocido como Enigma Stealer. Además, están explotando CVE-2015-2291, una vulnerabilidad de controlador de Intel, para cargar un controlador malicioso que reduce la integridad del token de Microsoft Defender.

Stealerium es un proyecto de código abierto escrito en C# y se comercializa como ladrón, recortador y registrador de teclas con capacidades de registro mediante la API de Telegram.

La cadena de infección comienza con un archivo RAR malicioso llamado contract.rar que se distribuye a través de intentos de phishing o redes sociales. Contiene dos archivos; Preguntas de entrevista.txt y Condiciones de entrevista.word.exe que configuran el pretexto para un rol de criptomoneda falso o una oferta de trabajo. El primero contiene preguntas de entrevista de muestra escritas en cirílico, mientras que el segundo se hace pasar por un documento de Word legítimo, pero en realidad contiene el cargador Enigma de la primera etapa. Una vez ejecutado, registra y descarga el payload de la segunda etapa.

Los equipos de seguridad y los usuarios individuales deben mantener sus soluciones de seguridad actualizadas y estar al tanto de cualquier oportunidad de trabajo sospechosa o señuelos de aumento de salario de fuentes desconocidas.

¿Qué es el malware infostealer, similar a Enigma Stealer?

El malware Infostealer es un software malicioso diseñado para robar información confidencial de la computadora de una víctima, como contraseñas, números de tarjetas de crédito y otros datos personales. Es similar a Enigma Stealer en que los actores de amenazas lo utilizan para obtener acceso a información confidencial sin el conocimiento o consentimiento de la víctima.

¿Cómo utilizan los actores de amenazas la ingeniería social y los señuelos para introducir malware a través del phishing?

Los actores de amenazas utilizan ingeniería social y señuelos para introducir malware a través del phishing creando pretextos convincentes que parecen legítimos. Esto podría incluir el envío de correos electrónicos maliciosos o mensajes con archivos adjuntos o enlaces que parecen provenir de una fuente confiable, como una oportunidad de trabajo o un aumento de salario. El archivo adjunto o enlace malicioso luego descargará el malware en la computadora de la víctima, lo que permitirá que el actor de amenazas obtenga acceso a información confidencial sin el conocimiento o consentimiento de la víctima.