La cadena de infección comienza con un archivo RAR malicioso distribuido a través de redes sociales y por correo electrónico.
Una campaña ejecutada por actores de amenazas rusos se centra en el envío de correos electrónicos fraudulentos que integran malware con presuntas ofertas de empleo y dirigidos a profesionales del sector de las criptomonedas.
Investigadores de Trend Micro han analizado la actividad de este grupo de ciberdelincuentes, que han logrado infectar varios equipos con una versión modificada del malware Stealerium y que recibe el nombre de Enigma.
Stealerium es un ladrón de información integrado en el lenguaje de programación C# que envía registros de información robada a un servidor controlado por los propios actores de amenazas. Además de hacerse con este tipo de información, puede hacer capturas de pantalla y hasta registrar las pulsaciones de las teclas.
En este caso, Enigma ha empleado falsas ofertas y entrevistas de empleo destinadas a profesionales del sector de las criptomonedas de Europa del Este con una cadena de infección que comienza con un archivo RAR malicioso distribuido a través de redes sociales y por correo electrónico.
El archivo que reciben las víctimas contiene dos documentos: uno en el que se nombran las preguntas de la entrevista (documento con formato .txt) y otro en el que presuntamente se incluyen las condiciones del puesto de empleo (.word.exe).
El archivo de la entrevista contiene preguntas en cirílico, sistema de escritura empleado para legitimar el documento fraudulento. Por otro lado, el archivo de las condiciones de la vacante contiene el una primera carga del malware Enigma. Su objetivo es el de descargar y descomprimir el software malicioso, que se instala en el dispositivo en varias partes o cargas útiles.
Según el estudio de Trend Micro, Enigma utiliza dos servidores. El primero se sirve de la aplicación Telegram, a través de un canal controlado por el atacante, para entregar cargas útiles y enviar comandos.
El segundo se utiliza para DevOps y para concluir el registro de la carga maliciosa, cuyo objetivo principal es deshabilitar el sistema de seguridad de Microsoft Defender, al implementar un controlador Intel de modo kernel malicioso y explotar una vulnerabilidad de este, identificada como CVE-2015-2291.
Esta brecha del controlador permite que los comandos se ejecuten con privilegios de kernel, de modo que los actores de amenazas logran deshabilitar Microsoft Defender antes de que el software malicioso descargue y ejecute la tercera carga útil.
Una vez integrado en el sistema del dispositivo infectado, Enigma recopila y roba información del sistema y del usuario, entre la que se encuentran contraseñas de varios navegadores web y aplicaciones como Google Chrome, Microsoft Edge, Signal, Telegram, OpenVPN y Microsoft Outlook, entre otros.
Una vez recopilados estos datos, se filtran y se comprimen en un archivo ZIP para enviarlo al propio actor de amenazas a través de la aplicación de mensajería Telegram. Estos movimientos quedan registrados en DevOps para continuar desarrollando, perfilando y mejorando el rendimiento del malware.
Fuente: El Comercio