Ladrón de enigmas

Los actores de amenazas rusos han ideado una campaña dirigida a los europeos del este que trabajan en la industria de las criptomonedas. Mediante el uso de ofertas de trabajo falsas, pretenden infectar a sus víctimas con un malware previamente desconocido rastreado como Enigma Stealer. La operación amenazante se basa en un conjunto intrincado de cargadores muy ofuscados que explotan una vulnerabilidad en un controlador Intel antiguo. Esta técnica se usa para reducir la integridad del token de Microsoft Defender y, en consecuencia, eludir sus medidas de seguridad.

Todas estas tácticas se utilizan para obtener acceso a datos confidenciales y comprometer las máquinas de las víctimas. Los detalles sobre Enigma Stealer y la infraestructura de la campaña de ataque fueron revelados en un informe de investigadores de seguridad. Según sus hallazgos, Enigma es una versión modificada del malware de código abierto Stealerium .

Cadena de infección compleja de Enigma Stealer

Los actores de amenazas detrás de Enigma Stealer están utilizando un correo electrónico malintencionado para atacar a sus víctimas. Los correos electrónicos que pretenden ofrecer oportunidades laborales incluyen un archivo RAR adjunto que contiene un archivo .TXT con preguntas de entrevista escritas en cirílico, así como un ejecutable llamado 'condiciones de entrevista.word.exe'. Si se induce a la víctima a ejecutar el ejecutable, se ejecuta una cadena de cargas útiles de varias etapas, que finalmente descarga el malware de recopilación de información Enigma de Telegram.

La carga útil de la primera etapa es un descargador de C++ que utiliza varias técnicas para evadir la detección mientras descarga y ejecuta la carga útil de la segunda etapa, 'UpdateTask.dll'. Este exploit de segunda etapa aprovecha la técnica 'Bring Your Own Vulnerable Driver' (BYOVD) para explotar la vulnerabilidad de Intel CVE-2015-2291, que permite que los comandos se ejecuten con privilegios de kernel. Luego, los actores de amenazas lo utilizan para deshabilitar Microsoft Defender antes de que el malware descargue la tercera carga útil.

Capacidades amenazantes de Enigma Stealer

La tercera carga útil desplegada por los actores de amenazas es Enigma Stealer. Está diseñado para apuntar a la información del sistema, los tokens y las contraseñas almacenadas en los navegadores web, como Google Chrome, Microsoft Edge, Opera y más. Además, también puede capturar capturas de pantalla del sistema comprometido, extraer contenido del portapapeles y configuraciones de VPN.

Enigma Stealer también es capaz de apuntar a datos almacenados en Microsoft Outlook, Telegram, Signal, OpenVPN y otras aplicaciones. Toda la información recopilada se comprime en un archivo ZIP ('Data.zip'), que se envía a los actores de amenazas a través de Telegram. Para ocultar aún más sus propios datos y evitar el acceso no autorizado o la manipulación, algunas de las cadenas de Enigma, como las rutas del navegador web y las URL de los servicios API de geolocalización, se cifran en el modo Cipher Block Chaining (CBC) con el algoritmo Advanced Encryption Standard (AES).