Enigma, Vector и TgToxic: Новите закани за корисниците на криптовалути

Осомничените руски хакери ги таргетираат корисниците од Источна Европа во крипто индустријата со лажни можности за работа како мамка за инсталирање малициозен софтвер за крадење информации на компромитирани домаќини.

Напаѓачите „користат неколку недоволно развиени техники со цел да ги заразат оние кои се вклучени во индустријата за криптовалути со Enigma“, изјавија истражувачите на Trend Micro, Aliakbar Zahravi и Peter Girnus во извештајот оваа недела.

Enigma е изменета верзија на Stealerium, малициозен софтвер базиран на C# со отворен код кој делува како stealer, clipper и keylogger.

Инфекцијата започнува со лажна RAR архивска датотека што се дистрибуира преку phishing или платформи на социјалните медиуми. Содржи два документи, од кои едниот е .TXT-датотека која вклучува збир од прашања за интервју поврзани со криптовалутите.

Втората датотека е Microsoft Word документ кој, иако служи како мамка, има задача да ја стартува првата фаза на Enigma, кој, пак, презема и извршува payload од секундарна фаза преку Telegram.

„За да ја преземете следната фаза, малициозниот софтвер прво испраќа барање до Telegram каналот контролиран од напаѓачот за да ја добие патеката на датотеката“, изјавија истражувачите. „Овој пристап му овозможува на напаѓачот постојано ажурирање и ја елиминира зависноста од фиксните имиња на датотеките.

Преземањето од втората фаза, кое се извршува со зголемени привилегии, е дизајниран да го оневозможи Microsoft Defender и да инсталира трета фаза со распоредување на легитимно потпишан kernel mode Intel driver кој е ранлив на CVE-2015-2291 во техника наречена Bring Your Own Vulnerable Driver (BYOVD).

Вреди да се напомене дека U.S. Cybersecurity and Infrastructure Security Agency (CISA) ја додаде ранливоста во својот каталог на познати експлоатирани ранливости (KEV), наведувајќи докази за активна експлоатација.

Третата фаза на крајот го отвора патот за преземање на Enigma Stealer преку Telegram канал контролиран од напаѓачот. Малициозниот софтвер, доаѓа со функции за собирање чувствителни информации, снимање притискања на тастатурата и снимање слики од екранот, а сето тоа се ексфилтрира назад со помош на Telegram.

Лажните понуди за работа се испробана и проверена тактика што ја користи Lazarus Групацијата поддржана од Северна Кореја во нејзините напади насочени кон крипто секторот. Усвојувањето на овој начин на работа од страна на руските хакери „покажува упорен и профитабилен начин за напад“.

Наодите доаѓаат откако Uptycs објави детали за кампања за напад што го користи малициозниот софтвер Stealerium за да ги презема личните податоци, вклучително и ингеренциите за паричници со криптовалути како што се Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty и Zcash, меѓу другите.

Придружувањето на Enigma Stealer и Stealerium во таргетирањето на паричниците со криптовалути е уште еден малициозен софтвер наречен Vector Stealer кој исто така доаѓа со можности за крадење на .RDP датотеки, овозможувајќи им на хакерите да извршат RDP hijacking за далечински пристап, изјави Cyble во техничкото пишување.

Синџирите за напади документирани од фирмите за сајбер-безбедност покажуваат дека групите на малициозен софтвер се испорачуваат преку Microsoft Office прилозите кои содржат малициозни макроа, што сугерира дека хакерите сè уште се потпираат на методот и покрај обидите на Microsoft да ја затвори дупката.

Сличен метод е употребен и за распоредување на Monero наспроти позадината на кампањата за cryptojacking и phishing наменета за шпанските корисници, според Fortinet FortiGuard Labs.

Развојот е исто така најнов во долгата листа на напади кои имаат за цел да ги украдат криптовалутите на жртвите низ платформите.

Ова се состои од „rapidly evolving“ Android банкарски trojan познат како TgToxic, кој ги краде ингеренциите и средствата од крипто паричниците, како и од банкарските и финансиските апликации. Тековната кампања за малициозен софтвер, активна од јули 2022 година, е насочена кон мобилни корисници во Тајван, Тајланд и Индонезија.

„Кога жртвата ќе ја преземе лажната апликација од веб-страната дадена од страна на хакерот или ако жртвата се обиде да испрати директна порака до хакерот преку апликации за пораки како што се WhatsApp или Viber, сајбер криминалецот го мами корисникот да се регистрира, инсталирајќи малициозен софтвер , и овозможување на дозволите што му се потребни“, изјави Trend Micro.

Апликациите, освен што ги злоупотребуваат Android услугите за пристапност за извршување на неовластени трансфери на средства, се значајни и по искористувањето на легитимните рамки за автоматизација како Easyclick и Auto.js за извршување на кликови и гестови, што го прави вториот Android малициозен софтвер по PixPirate.

Кампањите за social engineering, исто така, отидоа подалеку од „phishing“ и „smishing“ на социјалните мрежи со поставување убедливи целни страници кои имитираат популарни крипто услуги со цел да се пренесат Ethereum и NFT од хакираните паричници.

Ова, според Recorded Future, се постигнува со вметнување на крипто скрипта во phishing страницата, која ги мами жртвите да ги поврзат нивните паричници со non-fungible tokens (NFT).

Ваквите готови phishing страници се продаваат на darknet форумите како дел од она што се нарекува phishing-as-a-service (PhaaS), дозволувајќи им на другите хакери да ги изнајмуваат овие пакети и брзо да спроведуваат малициозни операции во обем.

„Crypto drainers“ се малициозни скрипти кои функционираат како е-скимери и се користат со phishing техники за да се украдат крипто средствата на жртвите“, изјави компанијата во извештајот објавен минатата недела, опишувајќи ги измамите како ефективни и брзо растечки.

„Употребата на легитимни услуги на crypto drainer phishing страниците може да ја зголеми веројатноста дека страницата за кражба на идентитет ќе го помине корисничкиот „scam litmus тест“. Откако крипто-паричниците ќе бидат компромитирани, не постојат заштитни мерки за да се спречи незаконскиот пренос на средства во паричниците на напаѓачите“.

Нападите доаѓаат во време кога криминалните групи украдоа рекордни 3,8 милијарди долари од крипто бизниси во 2022 година, а голем дел од скокот им се припишува на хакерските екипи спонзорирани од Северна Кореја.

Извор: TheHackerNews

Check Also

MITRE ја објави својата годишна листа на Топ 25 „најопасни софтверски слабости“ за 2023 година.

“Овие слабости доведуваат до сериозни пропусти во софтверот“, соопшти американската Агенција за сајбер безбедност и …