Des pirates utilisent de fausses offres d’emploi en crypto-monnaie pour diffuser des logiciels malveillants voleurs d’informations

Cibler les victimes

Afin d’attirer leurs cibles, les attaques commencent par des courriels qui ressemblent à des offres d’emploi et incluent de faux entretiens avec Bitcoin. Les courriels contiennent une pièce jointe d’archive RAR qui comprend un exécutable et un fichier TXT appelé “questions d’entretien.txt” (“conditions d’entretien.word.exe”).

Les questions d’entretien en cyrillique sont rédigées de manière standard et apparaissent comme réelles dans le fichier texte.

Une série de charges utiles sont exécutées si la victime est dupée pour exécuter l’exécutable, et elle finit par télécharger le virus Enigma de vol de données via Telegram.

Le téléchargeur de la première étape est un outil C++ qui télécharge et exécute la charge utile de la deuxième étape, “UpdateTask.dll”, tout en évitant d’être détecté à l’aide de méthodes telles que le hachage d’API, le cryptage de chaîne et le code non pertinent.

Bring Your Own Vulnerable Driver (BYOVD) est un mécanisme utilisé par la charge utile de deuxième étape, qui est également écrite en C++, pour tirer parti de la vulnérabilité CVE-2015-2291 d’Intel. En raison d’un bogue dans le pilote Intel, des commandes peuvent être exécutées avec les privilèges du noyau.

Les acteurs de la menace profitent de cette faille pour empêcher Microsoft Defender de fonctionner avant le téléchargement de la troisième charge utile de l’infection.

La troisième étape télécharge la charge utile finale, Enigma Stealer, qui est une version modifiée du virus open-source de vol d’informations Stealerium, selon Trend Micro, via un canal Telegram privé.

Dans les navigateurs Web comme Google Chrome, Microsoft Edge, Opera et d’autres, Enigma cible les données système, les jetons et les mots de passe. Il cible également les informations conservées dans des programmes comme OpenVPN, Telegram, Signal et Microsoft Outlook, entre autres.

Enigma peut également récupérer des informations du presse-papiers ou des configurations VPN, ainsi que prendre des captures d’écran du système piraté.

Enfin, les acteurs de la menace reçoivent une archive ZIP (“Data.zip”) contenant toutes les données volées qui ont été compressées.

Les routes de navigateur Web et les URL des services API de géolocalisation sont deux exemples de chaînes de caractères qui sont chiffrées par Enigma à l’aide de l’algorithme AES en mode CBC (cipher-block chaining). Ce cryptage est très probablement effectué pour protéger les données et empêcher tout accès ou manipulation illégale.

Attribution

Bien que Trend Micro ne puisse pas attribuer définitivement les attaques à un acteur de la menace russe, elle a identifié un certain nombre de facteurs qui pourraient le faire.

Le premier drapeau rouge est la présence d’un panneau C2 Amadey, bien connu des forums de cybercriminalité russes, sur l’un des serveurs de journalisation utilisés dans cette campagne pour suivre le flux d’exécution des infections actives.

Deuxièmement, le serveur utilise “Deniska”, un système d’exploitation Linux restreint qui est exclusivement mentionné dans les forums en langue russe.

Le serveur est également configuré pour utiliser Moscou comme fuseau horaire par défaut, ce qui est un indice supplémentaire que les acteurs de la menace sont russes.

Les acteurs de la menace de la Corée du Nord sont plus fréquemment vus en train de publier des annonces d’offres d’emploi fictives qui ciblent spécifiquement les personnes travaillant dans le secteur des technologies financières. Ainsi, l’adoption de ce concept par les Russes est un développement intriguant.