Experten warnen, dass Hacker erneut den klassischen „Fake Crypto Job“-Betrug verwenden, um gefährliche Malware zu verbreiten.
Anstelle der üblichen nordkoreanischen Lazarus-Gruppe versuchen diesmal jedoch die Russen, leichtgläubige Krypto-Arbeiter auszunutzen. Cybersicherheitsforscher von Trend Micro haben kürzlich unbenannte russische Bedrohungsakteure beobachtet, die es auf Arbeiter in der Kryptowährungsindustrie in Osteuropa abgesehen haben.
Sie verschickten E-Mails und luden die Opfer ein, ein neues Stellenangebot bei einer Kryptofirma in Betracht zu ziehen. Die E-Mail enthielt zwei Anhänge, eine scheinbar harmlose .txt-Datei (mit dem Titel „Interview Questions“) und eine offensichtlich bösartige (mit dem Titel „Interview Conditions.word.exe“).
Bringen Sie Ihren eigenen anfälligen Fahrer mit
Der Angriff ist eine dreistufige Kampagne: Wenn das Opfer die ausführbare Datei ausführt, lädt es eine zweite Payload herunter, die eine Schwachstelle in einem Intel-Treiber ausnutzt, die als CVE-2015-2291 verfolgt wird. Diese Methode, die allgemein als „Bring Your Own Vulnerable Driver“ bezeichnet wird, ermöglicht Angreifern, Befehle mit Kernel-Privilegien auszuführen, und sie nutzen diese Fähigkeit, um den Virenschutz zu deaktivieren.
Sobald das Antivirenprogramm deaktiviert ist, lösen sie den Download der dritten Payload aus, bei der es sich um eine Variante der Stealerium-Malware mit dem Namen Enigma handelt.
Die Malware, die von einem privaten Telegram-Kanal abgerufen wird, ist in der Lage, Systeminformationen, Browser-Tokens, gespeicherte Passwörter (sie zielt auf praktisch alle gängigen Browser, einschließlich Chrome, Edge, Opera usw.), Daten zu extrahieren, die in Outlook, Telegram gespeichert sind , Signal, OpenVPN und mehr. Darüber hinaus kann Enigma Screenshots erstellen und Inhalte aus der Zwischenablage extrahieren.
Wenn es bekommt, was es will, packt Enigma alles in ein Data.zip-Archiv und schickt es per Telegram zurück.
Während gefälschte Jobangebote normalerweise etwas sind, was die Lazarus Group macht, glaubt Trend Micro, dass die Gruppe dieses Mal russischen Ursprungs ist. Anscheinend hostet einer der Protokollierungsserver ein Amadey C2-Panel, das bei russischen Cyberkriminellen sehr beliebt ist. Außerdem läuft auf dem Server „Deniska“, eine Linux-Variante, die fast ausschließlich von Russen verwendet wird – und die Standard-Zeitzone des Servers ist ebenfalls auf Moskau eingestellt.
Über: Piepender Computer (öffnet in neuem Tab)