マルスパムを使用して配布される Enigma Stealer

TrendMicro の研究者は最近、仮想通貨業界の東ヨーロッパ人をターゲットにした活発なキャンペーンを発見しました。攻撃者は偽の仕事の口実を使用して、Stalerium 情報スティーラーの修正版をインストールします。これは Enigma Stealer として知られています。さらに、Intel ドライバーの脆弱性である CVE-2015-2291 を悪用して、Microsoft Defender のトークンの整合性を低下させる悪意のあるドライバーを読み込みます。

Stealerium は C# で記述されたオープンソース プロジェクトであり、Telegram API を使用したログ機能を備えたスティーラー、クリッパー、およびキーロガーとして販売されています。

感染チェーンは、contract.rar と呼ばれる悪意のある RAR アーカイブから始まり、フィッシング攻撃やソーシャル メディアを介して配布されます。 2 つのファイルが含まれています。偽の暗号通貨の役割または求人の口実を設定する Interview questions.txt および Interview conditions.word.exe。前者にはキリル文字で書かれたインタビューの質問のサンプルが含まれており、後者には正規の Word 文書を装っていますが、実際には第 1 段階の Enigma ローダーが含まれています。実行されると、第 2 段階のペイロードを登録してダウンロードします。

セキュリティ チームと個々のユーザーは、セキュリティ ソリューションを常に最新の状態に保ち、未知のソースからの疑わしい雇用機会や昇給の誘惑に注意する必要があります。

Enigma Stealer に似た infostealer マルウェアとは何ですか?

Infostealer マルウェアは、被害者のコンピュータからパスワード、クレジット カード番号、その他の個人データなどの機密情報を盗むように設計された悪意のあるソフトウェアです。これは、攻撃者が被害者の知らないうちに同意なしに機密情報にアクセスするために使用するという点で、Enigma Stealer に似ています。

攻撃者はソーシャル エンジニアリングとルアーをどのように使用してマルウェアをフィッシングにすり抜けるのでしょうか?

脅威アクターは、ソーシャル エンジニアリングとルアーを使用して、正当に見える説得力のある口実を作成することで、マルウェアをフィッシングからすり抜けます。これには、求人や昇給など、信頼できるソースからのものであると思われる添付ファイルまたはリンクを含む悪意のある電子メールまたはメッセージの送信が含まれる可能性があります。次に、悪意のある添付ファイルまたはリンクがマルウェアを被害者のコンピューターにダウンロードし、攻撃者が被害者の知らないうちに同意なしに機密情報にアクセスできるようにします。