Enigma Stealer distribueras med malspam
TrendMicro-forskare upptäckte nyligen en aktiv kampanj som riktar sig till östeuropéer i kryptovalutabranschen. Angriparna använder en falsk jobbförevändning för att installera en modifierad version av Stealeriums informationsstjuver, känd som Enigma Stealer. Dessutom utnyttjar de CVE-2015-2291, en Intel-drivrutinssårbarhet, för att ladda en skadlig drivrutin som minskar tokenintegriteten hos Microsoft Defender.
Stealerium är ett öppen källkodsprojekt skrivet i C# och marknadsförs som en stealer, clipper och keylogger med loggningsmöjligheter med hjälp av Telegram API.
Infektionskedjan börjar med ett skadligt RAR-arkiv som heter contract.rar som distribueras via nätfiskeförsök eller sociala medier. Den innehåller två filer; Intervju questions.txt och Interview conditions.word.exe som ställer upp förevändningen för en falsk kryptovalutaroll eller jobböppning. Den förra innehåller exempel på intervjufrågor skrivna på kyrilliska medan den senare maskerar sig som ett legitimt word-dokument men innehåller faktiskt det första steget Enigma loader. När den har körts registrerar och laddar den ned nyttolasten i andra steget.
Säkerhetsteam och enskilda användare bör hålla sina säkerhetslösningar uppdaterade och vara medvetna om eventuella misstänkta jobbtillfällen eller löneökningar från okända källor.
Vad är infostealer malware, liknande Enigma Stealer?
Infostealer malware är skadlig programvara utformad för att stjäla känslig information från ett offers dator, såsom lösenord, kreditkortsnummer och andra personliga uppgifter. Den liknar Enigma Stealer genom att den används av hotaktörer för att få tillgång till konfidentiell information utan offrets vetskap eller samtycke.
Hur använder hotaktörer social ingenjörskonst och beten för att slippa skadlig programvara genom nätfiske?
Hotaktörer använder social ingenjörskonst och lockar för att slippa skadlig programvara genom nätfiske genom att skapa övertygande förevändningar som verkar legitima. Detta kan inkludera att skicka skadliga e-postmeddelanden eller meddelanden med bilagor eller länkar som verkar komma från en pålitlig källa, till exempel ett jobbtillfälle eller löneökning. Den skadliga bilagan eller länken kommer sedan att ladda ner skadlig programvara till offrets dator, vilket gör att hotaktören kan få tillgång till konfidentiell information utan offrets vetskap eller samtycke.
