Enigma Stealer rozpowszechniany za pomocą złośliwego spamu

Badacze TrendMicro odkryli niedawno aktywną kampanię skierowaną do mieszkańców Europy Wschodniej w branży kryptowalut. Atakujący używają fałszywego pretekstu do zainstalowania zmodyfikowanej wersji narzędzia do kradzieży informacji Stealerium, znanego jako Enigma Stealer. Ponadto wykorzystują lukę CVE-2015-2291, lukę w sterowniku Intela, do załadowania złośliwego sterownika, który zmniejsza integralność tokena Microsoft Defender.

Stealerium to projekt typu open source napisany w języku C# i jest sprzedawany jako narzędzie do kradzieży, przycinania i keyloggera z możliwością rejestrowania za pomocą interfejsu API Telegrama.

Łańcuch infekcji rozpoczyna się od złośliwego archiwum RAR o nazwie contract.rar, które jest dystrybuowane za pośrednictwem prób phishingu lub mediów społecznościowych. Zawiera dwa pliki; Wywiad pytania.txt i Wywiad warunki.word.exe, które tworzą pretekst do fałszywej roli kryptowaluty lub otwarcia pracy. Pierwsza z nich zawiera przykładowe pytania z wywiadu napisane cyrylicą, podczas gdy druga udaje legalny dokument tekstowy, ale w rzeczywistości zawiera pierwszy etap programu ładującego Enigmę. Po wykonaniu rejestruje i pobiera ładunek drugiego etapu.

Zespoły ds. bezpieczeństwa i indywidualni użytkownicy powinni na bieżąco aktualizować swoje rozwiązania bezpieczeństwa i być świadomi wszelkich podejrzanych ofert pracy lub przynęt na podwyżki wynagrodzeń z nieznanych źródeł.

Czym jest złośliwe oprogramowanie typu infostealer, podobne do Enigma Stealer?

Szkodliwe oprogramowanie Infostealer to złośliwe oprogramowanie zaprojektowane do kradzieży poufnych informacji z komputera ofiary, takich jak hasła, numery kart kredytowych i inne dane osobowe. Jest podobny do Enigma Stealer, ponieważ jest wykorzystywany przez cyberprzestępców do uzyskiwania dostępu do poufnych informacji bez wiedzy i zgody ofiary.

W jaki sposób cyberprzestępcy wykorzystują socjotechnikę i przynęty, aby przemycić złośliwe oprogramowanie za pośrednictwem phishingu?

Przestępcy wykorzystują socjotechnikę i przynęty, aby przemycić złośliwe oprogramowanie poprzez phishing, tworząc przekonujące preteksty, które wydają się uzasadnione. Może to obejmować wysyłanie złośliwych wiadomości e-mail lub wiadomości z załącznikami lub linkami, które wydają się pochodzić z zaufanego źródła, takiego jak oferta pracy lub podwyżka wynagrodzenia. Złośliwy załącznik lub łącze pobierze następnie złośliwe oprogramowanie na komputer ofiary, umożliwiając cyberprzestępcy uzyskanie dostępu do poufnych informacji bez wiedzy i zgody ofiary.