エニグマ スティーラー

ロシアの脅威アクターは、暗号通貨業界で働く東ヨーロッパ人を標的とするキャンペーンを考案しました。彼らは、偽の求人情報を使用して、これまで知られていなかった Enigma Stealer として追跡されるマルウェアに被害者を感染させることを目指しています。この脅威的な操作は、古い Intel ドライバーの脆弱性を悪用する、高度に難読化された一連の複雑なローダーに依存しています。この手法は、Microsoft Defender のトークンの整合性を低下させ、その結果、セキュリティ対策を回避するために使用されます。

これらの戦術はすべて、機密データへのアクセスを取得し、被害者のマシンを侵害するために使用されます。 Enigma Stealer と攻撃キャンペーンのインフラストラクチャに関する詳細は、セキュリティ研究者によるレポートで明らかになりました。彼らの調査結果によると、エニグマはオープンソース マルウェアStealeriumの修正版です。

Enigma Stealer の複雑な感染チェーン

Enigma Stealer の背後にいる攻撃者は、悪意のある電子メールを使用して被害者を攻撃しています。仕事の機会を提供するふりをした電子メールには、キリル文字で書かれた面接の質問を含む .TXT ファイルを含む添付の RAR アーカイブと、「interview conditions.word.exe」と呼ばれる実行可能ファイルが含まれています。被害者が実行可能ファイルを起動するよう誘導されると、ペイロードの多段階チェーンが実行され、最終的に Telegram から Enigma 情報収集マルウェアがダウンロードされます。

第 1 段階のペイロードは、第 2 段階のペイロード「UpdateTask.dll」をダウンロードして起動する際に、さまざまな手法を使用して検出を回避する C++ ダウンローダーです。この第 2 段階のエクスプロイトは、「Bring Your Own Vulnerable Driver」(BYOVD) 手法を活用して、カーネル権限でコマンドを実行できるようにする CVE-2015-2291 Intel 脆弱性をエクスプロイトします。これは、マルウェアが 3 番目のペイロードをダウンロードする前に、攻撃者が Microsoft Defender を無効にするために使用されます。

エニグマ スティーラーの威嚇能力

攻撃者が展開する 3 番目のペイロードは Enigma Stealer です。 Google Chrome、Microsoft Edge、Opera などの Web ブラウザに保存されているシステム情報、トークン、およびパスワードを標的とするように設計されています。さらに、侵害されたシステムからスクリーンショットをキャプチャし、クリップボードのコンテンツと VPN 構成を抽出する可能性もあります。

Enigma Stealer は、Microsoft Outlook、Telegram、Signal、OpenVPN、およびその他のアプリケーションに保存されているデータを標的にすることもできます。収集されたすべての情報は ZIP アーカイブ (「Data.zip」) に圧縮され、Telegram を介して攻撃者に送り返されます。独自のデータをさらに隠し、不正アクセスや改ざんを防止するために、Web ブラウザーのパスや Geolocation API サービスの URL などの Enigma の文字列の一部は、高度暗号化標準 (AES) アルゴリズムを使用して暗号ブロック チェーン (CBC) モードで暗号化されます。