Enigma Stealer Malspam használatával terjesztve
A TrendMicro kutatói nemrégiben feltártak egy aktív kampányt, amely a kelet-európaiakat célozza meg a kriptovaluta iparágban. A támadók hamis munkára hivatkozva telepítik az Enigma Stealer néven ismert Stealerium információlopó módosított verzióját. Ezenkívül kihasználják a CVE-2015-2291-et, az Intel illesztőprogram-sebezhetőségét egy rosszindulatú illesztőprogram betöltésére, amely csökkenti a Microsoft Defender token integritását.
A Stealerium egy C# nyelven írt nyílt forráskódú projekt, amelyet a Telegram API segítségével naplózási képességekkel rendelkező stealer, clipper és keyloggerként forgalmaznak.
A fertőzési lánc egy contract.rar nevű rosszindulatú RAR-archívummal kezdődik, amelyet adathalászati kísérleteken vagy közösségi médián keresztül terjesztenek. Két fájlt tartalmaz; Interjú kérdések.txt és Interview conditions.word.exe, amelyek ürügyet teremtenek egy hamis kriptovaluta-szerepre vagy álláslehetőségre. Az előbbi mintainterjúkérdéseket tartalmaz cirill betűkkel, míg az utóbbi legitim Word-dokumentumnak álcázza magát, de valójában az első szakaszban található Enigma betöltőt tartalmazza. A végrehajtás után regisztrálja és letölti a második szakasz hasznos adatát.
A biztonsági csapatoknak és az egyéni felhasználóknak naprakészen kell tartaniuk biztonsági megoldásaikat, és figyelniük kell minden gyanús álláslehetőségre vagy ismeretlen forrásból származó fizetésemelésre.
Mi az az infostealer rosszindulatú program, amely hasonló az Enigma Stealerhez?
Az Infostealer rosszindulatú program olyan rosszindulatú szoftver, amelyet arra terveztek, hogy érzékeny információkat lopjon el az áldozat számítógépéről, például jelszavakat, hitelkártyaszámokat és egyéb személyes adatokat. Hasonló az Enigma Stealerhez, mivel a fenyegetés szereplői arra használják, hogy az áldozat tudta vagy beleegyezése nélkül hozzáférjenek bizalmas információkhoz.
Hogyan alkalmazzák a fenyegetés szereplői a társadalmi manipulációt és a csalásokat, hogy átcsúszhassák a rosszindulatú programokat az adathalászaton?
A fenyegető szereplők szociális manipulációt és csalásokat alkalmaznak, hogy meggyőző, jogosnak tűnő ürügyeket teremtve átvigyék a rosszindulatú programokat az adathalászaton. Ez magában foglalhatja a rosszindulatú e-mailek vagy üzenetek küldését olyan mellékletekkel vagy hivatkozásokkal, amelyek megbízható forrásból származnak, például álláslehetőségről vagy fizetésemelésről. A rosszindulatú melléklet vagy hivatkozás ezután letölti a kártevőt az áldozat számítógépére, lehetővé téve a fenyegetettség szereplőjének, hogy hozzáférjen bizalmas információkhoz az áldozat tudta vagy beleegyezése nélkül.
