Enigma Stealer gedistribueerd met behulp van malspam
TrendMicro-onderzoekers hebben onlangs een actieve campagne ontdekt die gericht is op Oost-Europeanen in de cryptocurrency-industrie. De aanvallers gebruiken een nep-taakvoorwendsel om een aangepaste versie van de Stealerium-informatiestealer, bekend als Enigma Stealer, te installeren. Bovendien maken ze misbruik van CVE-2015-2291, een kwetsbaarheid van Intel-stuurprogramma's, om een kwaadaardig stuurprogramma te laden dat de tokenintegriteit van Microsoft Defender vermindert.
Stealerium is een open-sourceproject geschreven in C# en wordt op de markt gebracht als een stealer, clipper en keylogger met logmogelijkheden met behulp van de Telegram API.
De infectieketen begint met een kwaadaardig RAR-archief genaamd contract.rar dat wordt verspreid via phishing-pogingen of sociale media. Het bevat twee bestanden; Interview questions.txt en Interview conditions.word.exe die het voorwendsel vormden voor een valse cryptocurrency-rol of vacature. De eerste bevat voorbeelden van interviewvragen die in het Cyrillisch zijn geschreven, terwijl de laatste zich voordoet als een legitiem Word-document, maar in feite de Enigma-lader van de eerste fase bevat. Eenmaal uitgevoerd, registreert en downloadt het de payload van de tweede fase.
Beveiligingsteams en individuele gebruikers moeten hun beveiligingsoplossingen up-to-date houden en op de hoogte zijn van verdachte vacatures of salarisverhogingen uit onbekende bronnen.
Wat is infostealer-malware, vergelijkbaar met de Enigma Stealer?
Infostealer-malware is schadelijke software die is ontworpen om gevoelige informatie van de computer van een slachtoffer te stelen, zoals wachtwoorden, creditcardnummers en andere persoonlijke gegevens. Het is vergelijkbaar met de Enigma Stealer omdat het door bedreigingsactoren wordt gebruikt om toegang te krijgen tot vertrouwelijke informatie zonder medeweten of toestemming van het slachtoffer.
Hoe gebruiken cybercriminelen social engineering en lokaas om malware door phishing te glippen?
Bedreigingsactoren gebruiken social engineering en lokaas om malware door phishing te glippen door overtuigende voorwendsels te creëren die legitiem lijken. Dit kan het verzenden van kwaadaardige e-mails of berichten met bijlagen of links zijn die afkomstig lijken te zijn van een vertrouwde bron, zoals een vacature of salarisverhoging. De schadelijke bijlage of link downloadt vervolgens de malware op de computer van het slachtoffer, waardoor de bedreigingsactor toegang krijgt tot vertrouwelijke informatie zonder medeweten of toestemming van het slachtoffer.
