Μια καμπάνια κατασκοπείας που τρέχει από Ρώσους χάκερ χρησιμοποιεί πλαστές αγγελίες εργασίας για να στοχεύσει Ανατολικοευρωπαίους που απασχολούνται στον τομέα των κρυπτονομισμάτων, με στόχο να τους μολύνει με μια τροποποιημένη έκδοση του κακόβουλου λογισμικού Stealerium που ονομάζεται «Enigma».

Η Trend Micro, μια εταιρεία παρακολούθησης κακόβουλων δραστηριοτήτων, οι απειλητικοί φορείς χρησιμοποιούν ένα σύνολο από heavily obfuscated loaders που εκμεταλλεύεται ένα παλιό ελάττωμα του Intel driver για να μειώσει την ακεραιότητα του Microsoft Defender και να παρακάμψει τις προστασίες.

Στοχεύοντας θύματα

Οι επιθέσεις ξεκινούν με ένα email που προσποιείται ότι είναι μια προσφορά εργασίας για μια συνεντεύξη στον τομέα του cryptocurrency για να δελεάσουν τους στόχους τους. Τα email έχουν ένα συνημμένο αρχείο RAR το οποίο περιέχει ένα TXT (“interview questions.txt”) και ένα εκτελέσιμο αρχείο (“interviewconditions.word.exe”).

Το text file περιέχει ερωτήσεις συνέντευξης σε κυριλλική γραφή, ώστε να φαίνονται γνήσια και πιστά στην τυπική μορφή.

Ξεγελώντας το θύμα τους ώστε να ξεκινήσει το εκτελέσιμο αρχείο, οι επιτιθέμενοι μπορούν να ξεκινήσουν μια σειρά από payloads που θα οδηγήσουν τελικά στη λήψη του info-stealing malware Enigma από το Telegram.

Το πρόγραμμα λήψης πρώτου σταδίου είναι ένα εργαλείο C++ που χρησιμοποιεί τεχνικές όπως API hashing, κρυπτογράφηση string και άσχετο κώδικα για να αποφύγει τον εντοπισμό κατά τη λήψη και την εκκίνηση του ωφέλιμου φορτίου δεύτερου σταδίου, “UpdateTask.dll”.

Γραμμένο σε C++, το payload δεύτερου σταδίου χρησιμοποιεί την τεχνική Bring Your Own Vulnerable Driver (BYOVD) για να εκμεταλλευτεί την ευπάθεια CVE-2015-2291 της Intel. Αυτή η συγκεκριμένη Intel driver ευπάθεια παρέχει προνόμια Kernel τα οποία μπορούν να χρησιμοποιηθούν για την εκτέλεση εντολών.

Εκμεταλλευόμενοι αυτή την ευπάθεια, οι κακόβουλοι φορείς είναι σε θέση να απενεργοποιήσουν το Microsoft Defender, ώστε το malware να κατεβάσει το τρίτο payload του χωρίς να γίνει αντιληπτό.

Μετά το τρίτο στάδιο, το Enigma Stealer, μια τροποποιημένη έκδοση του information-stealing malware ανοιχτού κώδικα Stealerium, κατεβαίνει τελικά από ένα ιδιωτικό κανάλι στο Telegram. Αυτό ανακαλύφθηκε από ερευνητές της Trend Micro, οι οποίοι επιβεβαίωσαν τα ευρήματα αυτά στην έρευνά τους.

Το Enigma στοχεύει πληροφορίες συστήματος, tokens και κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης ιστού όπως ο Google Chrome, ο Microsoft Edge, ο Opera και άλλα. Επιπλέον, στοχεύει δεδομένα που είναι αποθηκευμένα στο Microsoft Outlook, στο Telegram, στο Signal, στο OpenVPN και σε άλλες εφαρμογές.

Το Enigma δεν μπορεί μόνο να καταγράφει screenshots από ευάλωτα συστήματα, αλλά έχει επίσης τη δυνατότητα να αποσπάσει clipboard περιεχόμενο και ρυθμίσεις VPN.

Τελικά, οι ληφθείσες πληροφορίες συσκευάζονται σε ένα αρχείο ZIP (“Data.zip”) και αποστέλλονται στους κακόβουλους φορείς μέσω του Telegram.

Αναγνώριση

Παρόλο που η Trend Micro δεν είναι απολύτως βέβαιη, έχει παρατηρήσει μερικά σημάδια που θα μπορούσαν να υποδηλώνουν ότι οι Ρώσοι χάκερ είναι υπεύθυνοι για τις επιθέσεις.

Μια βασική ένδειξη της κακόβουλης δραστηριότητας πίσω από αυτή την εκστρατεία είναι ότι ένας από τους logging servers φιλοξενεί ένα Amadey C2 panel, έναν τύπο κακόβουλου λογισμικού που προτιμάται από τους Ρώσους εγκληματίες του κυβερνοχώρου. Αυτό αποκαλύπτει πολλά για την πηγή και τη φύση αυτών των συνεχιζόμενων μολύνσεων.

Δεύτερον, ο server τρέχει το “Deniska”, το οποίο είναι ένα αποκλειστικό σύστημα Linux που είναι γνωστό μόνο σε ρωσόφωνα forums.

Τέλος, η προεπιλεγμένη ζώνη ώρας του server είχε οριστεί στη Μόσχα, γεγονός που υποδηλώνει ρωσική προέλευση της κυβερνοαπειλής.

Είναι σύνηθες να παρατηρεί κανείς ότι οι Βορειοκορεάτες διεξάγουν εκστρατείες με ψεύτικες προσφορές εργασίας ως τέχνασμα εναντίον ανθρώπων του κόσμου της χρηματοοικονομικής τεχνολογίας. Κατά συνέπεια, είναι συναρπαστικό να βλέπουμε τους Ρώσους να υιοθετούν την ίδια στρατηγική.

Πηγή: bleepingcomputer.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *