Posté le février 6, 2023 à 7:45

LES HACKERS RUSSES LANCENT DES CAMPAGNES DE LOGICIELS MALVEILLANTS À L’AIDE DU LOGICIEL MALVEILLANT DE VOL D’INFORMATIONS ENIGMA

Des groupes de hackers Russes ont utilisé de fausses promotions d’emploi pour mener des campagnes malveillantes en Europe de l’Est. La campagne cible les personnes travaillant dans le secteur des cryptomonnaies, les hackers cherchant à injecter un logiciel malveillant de vol d’informations dans leurs appareils. Le logiciel malveillant est une version du logiciel malveillant Stealerium connu sous le nom d’Enigma.

Des hackers déploient un logiciel malveillant de vol d’informations à l’aide de fausses offres d’emploi dans le domaine des cryptomonnaies

Un rapport de Trend Micro a détaillé les opérations de ces hackers. Trend Micro a analysé de près les activités malveillantes menées par ce groupe d’acteurs de la menace. Selon l’entreprise, les hackers ont utilisé un ensemble de chargeurs obfusqués exploitant une ancienne faille dans les pilotes Intel.

En réalisant cet exploit, les hackers ont réussi à abaisser l’intégrité du jeton de Microsoft Defender. Ils ont également contourné toutes les mesures de sécurité intégrées à l’appareil de la cible.

Ces campagnes malveillantes commencent par un e-mail qui prétend être une offre d’emploi d’une société de cryptomonnaies. Les candidats sont aussi attirés par de faux entretiens pour des emplois basés sur des cryptomonnaies. Cependant, les e-mails envoyés aux cibles contiennent une pièce jointe d’archive RAR dans le cadre du processus de candidature. La pièce jointe comporte un TXT (interview questions.txt) et une fonction exécutable (interview conditions.word.exe).

Le fichier texte est en outre accompagné de questions d’entretien publiées en cyrillique. Ces questions d’entretien ont un format standard, et elles semblent également légitimes. Les hackers ont utilisé une stratégie sophistiquée pour garantir que les cibles ne se méfieront pas de cette activité, car tout ce qui concerne le poste et l’entretien semble authentique.

Cependant, après que la victime ait lancé l’exécutable, celui-ci va déployer une chaîne de charges utiles qui seront exécutées dans l’appareil. Ces charges utiles téléchargeront en couches le logiciel malveillant Enigma depuis Telegram, qui sera utilisé pour voler des informations sur l’appareil de la cible.

Au cours de la première étape du déploiement de ce logiciel malveillant, le téléchargeur a été publié en utilisant le langage C++. L’outil utilise diverses techniques, telles que le hachage d’API, le cryptage de chaîne et le code non pertinent. Ces outils permettent aux hackers d’éviter d’être détectés lorsqu’ils téléchargent ou lancent la charge utile de la deuxième étape, baptisée « UpdateTask.dll ».

La charge utile de deuxième étape a par ailleurs été éditée en langage de programmation C++. Cette charge utile utilise une technique « Bring Your Own Vulnerable Driver (BYOVD) » pour exploiter la faille répertoriée sous le nom de CVE-2015-2291. La vulnérabilité du pilote Intel exécutera une commande sur la cible en utilisant les privilèges du noyau.

Cette vulnérabilité est très populaire auprès des acteurs de la menace. Elle est couramment utilisée par les hackers qui veulent désactiver Microsoft Defender. Une fois désactivé, les acteurs de la menace téléchargeront ensuite la troisième charge utile pour s’assurer qu’ils peuvent contourner les systèmes de sécurité.

La charge utile de troisième étape est utilisée pour télécharger la charge utile finale, qui est le logiciel malveillant de vol d’informations Enigma. Le logiciel malveillant est téléchargé à partir d’un canal Telegram privé qui, selon Trend Micro, est une version modifiée d’un autre logiciel malveillant utilisé dans le même but, connu sous le nom de Stealerium.

Le logiciel malveillant de vol d’informations Enigma est utilisé pour accéder à diverses informations, notamment les détails du système, les jetons et les mots de passe, sur des navigateurs Web tels que Google Chrome, Opera et Microsoft Edge. En outre, le logiciel malveillant peut aussi accéder aux données stockées sur d’autres applications telles que Telegram, Signal, Microsoft Outlook et OpenVPN, entre autres.

Ce logiciel malveillant prend en charge de nombreuses autres fonctions, comme la capture de captures d’écran du système affecté et l’extraction du contenu du presse-papiers ou des configurations VPN. Une fois que les hackers ont volé les données, celles-ci sont compressées dans une seule archive ZIP nommée Data.zip avant d’être envoyées aux acteurs de la menace via Telegram.

Certaines des chaînes du logiciel malveillant Enigma, notamment les chemins d’accès au navigateur Web et les URL des services de l’API de géolocalisation, sont chiffrées à l’aide de l’algorithme AES en mode de chaînage par blocs de chiffrement. Le chiffrement a pour but de cacher les données et de garantir que les hackers n’y auront pas accès et que les données ne seront pas altérées.

Le déploiement du logiciel malveillant est attribué à des acteurs de menaces Russes

Trend Micro n’a pas attribué ce logiciel malveillant à un groupe de hackers. Cependant, certains signes indiquent que des acteurs de menaces Russes pourraient être à l’origine de la campagne. L’un de ces signes est que les serveurs de journalisation utilisés pendant la campagne pour suivre le flux d’exécution des victimes utilisent un panneau C2 Amadey, populaire auprès des groupes de cybercriminels en Russie.

Le deuxième signe est que le serveur utilise « Deniska », un système Linux à usage spécial utilisé uniquement dans les forums russophones. Le fuseau horaire par défaut a été réglé sur Moscou, ce qui indique que les acteurs de la menace sont d’origine Russe.

D’autre part, les acteurs de la menace Nord-Coréenne sont connus pour mener des campagnes de promotion de fausses offres d’emploi ciblant le secteur de la fintech.