Enigma Stealer distribuito utilizzando Malspam
I ricercatori di TrendMicro hanno recentemente scoperto una campagna attiva che si rivolge agli europei dell'est nel settore delle criptovalute. Gli aggressori stanno utilizzando un falso pretesto di lavoro per installare una versione modificata del ladro di informazioni Stealerium, noto come Enigma Stealer. Inoltre, stanno sfruttando CVE-2015-2291, una vulnerabilità del driver Intel, per caricare un driver dannoso che riduce l'integrità del token di Microsoft Defender.
Stealerium è un progetto open source scritto in C# ed è commercializzato come stealer, clipper e keylogger con funzionalità di registrazione tramite l'API di Telegram.
La catena di infezione inizia con un archivio RAR dannoso chiamato contract.rar che viene distribuito tramite tentativi di phishing o social media. Contiene due file; Interview questions.txt e Interview conditions.word.exe che creano il pretesto per un falso ruolo di criptovaluta o un'apertura di lavoro. Il primo contiene domande di intervista di esempio scritte in cirillico mentre il secondo si maschera da documento word legittimo ma in realtà contiene il caricatore Enigma del primo stadio. Una volta eseguito, registra e scarica il payload del secondo stadio.
I team di sicurezza e i singoli utenti dovrebbero mantenere aggiornate le proprie soluzioni di sicurezza ed essere consapevoli di eventuali opportunità di lavoro sospette o di aumenti salariali provenienti da fonti sconosciute.
Cos'è il malware infostealer, simile a Enigma Stealer?
Il malware Infostealer è un software dannoso progettato per rubare informazioni sensibili dal computer di una vittima, come password, numeri di carte di credito e altri dati personali. È simile a Enigma Stealer in quanto viene utilizzato dagli attori delle minacce per ottenere l'accesso a informazioni riservate all'insaputa o al consenso della vittima.
In che modo gli attori delle minacce utilizzano l'ingegneria sociale e le esche per far passare il malware attraverso il phishing?
Gli autori delle minacce utilizzano l'ingegneria sociale e esche per far passare il malware attraverso il phishing creando pretesti convincenti che sembrano legittimi. Ciò potrebbe includere l'invio di e-mail o messaggi dannosi con allegati o collegamenti che sembrano provenire da una fonte attendibile, come un'opportunità di lavoro o un aumento di stipendio. L'allegato o il collegamento dannoso scaricherà quindi il malware sul computer della vittima, consentendo all'autore della minaccia di ottenere l'accesso a informazioni riservate all'insaputa o al consenso della vittima.
