Enigma Stealer distribuert ved hjelp av Malspam
TrendMicro-forskere avdekket nylig en aktiv kampanje som er rettet mot østeuropeere i kryptovalutaindustrien. Angriperne bruker et falskt jobbpåskudd for å installere en modifisert versjon av Stealerium-informasjonstyveren, kjent som Enigma Stealer. I tillegg utnytter de CVE-2015-2291, en Intel-driversårbarhet, for å laste en ondsinnet driver som reduserer tokenintegriteten til Microsoft Defender.
Stealerium er et åpen kildekode-prosjekt skrevet i C# og markedsføres som en stealer, clipper og keylogger med loggingsmuligheter ved hjelp av Telegram API.
Infeksjonskjeden begynner med et ondsinnet RAR-arkiv kalt contract.rar som distribueres via phishing-forsøk eller sosiale medier. Den inneholder to filer; Intervju question.txt og Interview conditions.word.exe som setter opp påskuddet for en falsk kryptovaluta-rolle eller jobbåpning. Førstnevnte inneholder eksempler på intervjuspørsmål skrevet på kyrillisk, mens sistnevnte utgir seg for å være et legitimt Word-dokument, men faktisk inneholder første trinn Enigma-lasteren. Når den er utført, registrerer og laster den ned nyttelasten i andre trinn.
Sikkerhetsteam og individuelle brukere bør holde sine sikkerhetsløsninger oppdatert og være oppmerksomme på eventuelle mistenkelige jobbmuligheter eller lønnsøkninger fra ukjente kilder.
Hva er infostealer malware, lik Enigma Stealer?
Infostealer malware er ondsinnet programvare utviklet for å stjele sensitiv informasjon fra et offers datamaskin, for eksempel passord, kredittkortnumre og andre personlige data. Den ligner på Enigma Stealer ved at den brukes av trusselaktører for å få tilgang til konfidensiell informasjon uten offerets viten eller samtykke.
Hvordan bruker trusselaktører sosial teknikk og lokker for å slippe skadelig programvare gjennom phishing?
Trusselaktører bruker sosial teknikk og lokker for å slippe skadelig programvare gjennom phishing ved å skape overbevisende påskudd som virker legitime. Dette kan inkludere å sende ondsinnede e-poster eller meldinger med vedlegg eller lenker som ser ut til å være fra en pålitelig kilde, for eksempel en jobbmulighet eller lønnsøkning. Det ondsinnede vedlegget eller koblingen vil deretter laste ned skadelig programvare til offerets datamaskin, slik at trusselaktøren kan få tilgang til konfidensiell informasjon uten offerets viten eller samtykke.
