Ciberseguridad 360 | Los piratas informáticos utilizan ofertas de trabajo criptográficas falsas para impulsar el malware que roba información

Una campa�a operada por actores de amenazas rusos utiliza ofertas de trabajo falsas para dirigirse a los europeos del este que trabajan en la industria de las criptomonedas, con el objetivo de infectarlos con una versi�n modificada del malware Stealerium llamado 'Enigma'.

De acuerdo con Trend Micro , que ha estado rastreando la actividad maliciosa, los actores de amenazas utilizan un conjunto de cargadores muy ofuscados que explotan una antigua falla del controlador Intel para reducir la integridad del token de Microsoft Defender y eludir las protecciones.

Apuntando a las v�ctimas

Los ataques comienzan con un correo electr�nico que finge ser una oferta de trabajo con entrevistas de criptomonedas falsas para atraer a sus objetivos. Los correos electr�nicos tienen un archivo adjunto RAR que contiene un TXT ("preguntas de la entrevista.txt") y un ejecutable ("condiciones de la entrevista.word.exe").

El archivo de texto contiene preguntas de la entrevista escritas en cir�lico, que siguen un formato est�ndar y parecen leg�timas.

Si se enga�a a la v�ctima para que inicie el ejecutable, se ejecuta una cadena de cargas �tiles que finalmente descargan el malware de robo de informaci�n Enigma de Telegram.

El descargador de primera etapa es una herramienta de C++ que utiliza t�cnicas como hashing de API, cifrado de cadenas y c�digo irrelevante para evadir la detecci�n al descargar y ejecutar la carga �til de segunda etapa, "UpdateTask.dll".

La carga �til de la segunda etapa, tambi�n escrita en C++, utiliza la t�cnica "Bring Your Own Vulnerable Driver" (BYOVD) para explotar la vulnerabilidad de Intel CVE-2015-2291. Esta falla del controlador Intel permite que los comandos se ejecuten con privilegios de Kernel.

Los actores de amenazas abusan de esta vulnerabilidad para deshabilitar Microsoft Defender antes de que el malware descargue la tercera carga �til.

La tercera etapa descarga la carga �til final, Enigma Stealer, desde un canal privado de Telegram, que seg�n Trend Micro es una versi�n modificada de Stealerium, un malware de c�digo abierto que roba informaci�n.

Enigma apunta a la informaci�n del sistema, tokens y contrase�as almacenadas en navegadores web como Google Chrome, Microsoft Edge, Opera y m�s. Adem�s, apunta a datos almacenados en Microsoft Outlook, Telegram, Signal, OpenVPN y otras aplicaciones.

Enigma tambi�n puede capturar capturas de pantalla del sistema comprometido y extraer contenido del portapapeles o configuraciones de VPN.

Finalmente, todos los datos robados se comprimen en un archivo ZIP ("Data.zip") y se env�an a los actores de amenazas a trav�s de Telegram.

Algunas de las cadenas de Enigma, como las rutas del navegador web y las URL de los servicios API de geolocalizaci�n, est�n cifradas con el algoritmo AES en el modo de encadenamiento de bloques cifrados (CBC), lo que probablemente oculte los datos y evite el acceso no autorizado o la manipulaci�n.

Fuente: CB.