Se ha encontrado a los piratas informáticos una vez más utilizando la clásica estafa de «trabajo criptográfico falso» para distribuir malware peligroso, advirtieron los expertos.
Sin embargo, en lugar del habitual Grupo Lazarus de Corea del Norte, esta vez son los rusos los que intentan aprovecharse de los crédulos criptotrabajadores. Los investigadores de seguridad cibernética de Trend Micro observaron recientemente a actores de amenazas rusos no identificados que se dirigían a los trabajadores de la industria de las criptomonedas, ubicados en Europa del Este.
Enviarían correos electrónicos invitando a las víctimas a considerar una nueva oferta de trabajo en una empresa de criptografía. El correo electrónico llevaría dos archivos adjuntos, un archivo .txt aparentemente benigno (titulado «Preguntas de la entrevista») y otro obviamente malicioso (titulado «Condiciones de la entrevista.word.exe»).
Traiga su propio conductor vulnerable
El ataque es una campaña de tres pasos: si la víctima ejecuta el ejecutable, descarga una segunda carga útil que abusa de una vulnerabilidad en un controlador Intel, rastreado como CVE-2015-2291. Este método, comúnmente conocido como «Traiga su propio controlador vulnerable», permite a los actores de amenazas ejecutar comandos con privilegios de Kernel y utilizan esta capacidad para desactivar la protección antivirus.
Una vez que se deshabilita el antivirus, activan la descarga de la tercera carga útil, que es una variante del malware Stealerium, llamada Enigma.
El malware, que se extrae de un canal privado de Telegram, es capaz de extraer información del sistema, tokens del navegador, contraseñas almacenadas (apunta prácticamente a todos los navegadores populares en la actualidad, incluidos Chrome, Edge, Opera, etc.), datos almacenados en Outlook, Telegram , Señal, OpenVPN y más. Además, Enigma puede tomar capturas de pantalla y extraer contenido del portapapeles.
Cuando obtiene lo que quiere, Enigma lo comprime todo en un archivo Data.zip y lo envía de vuelta a través de Telegram.
Si bien las ofertas de trabajo falsas suelen ser algo que hace Lazarus Group, Trend Micro cree que esta vez, el grupo es de origen ruso. Aparentemente, uno de los servidores de registro aloja un panel Amadey C2, muy popular entre los ciberdelincuentes rusos. Además, el servidor ejecuta «Deniska», una variante de Linux utilizada casi exclusivamente por los rusos, y la zona horaria predeterminada del servidor también está configurada en Moscú.
Vía: BleepingComputer (se abre en una pestaña nueva)