疑似俄罗斯黑客正在利用一个名为Enigma的软件实施信息窃取，向东欧人提供假加密货币工作机会。此外，攻击者还使用一组严重混淆的加载程序，利用Intel驱动程序漏洞加载恶意驱动程序。这会降低Microsoft Defender的令牌完整性以绕过保护。

感染链

根据Trend Micro的说法，感染链以通常通过社交媒体发送的钓鱼消息或邮件开始。

消息或邮件附带一个恶意RAR存档附件，其中包含一个文本文件和一个可执行文件。

文本包含用西里尔文编写的面试问题样本。它让目标相信假加密货币角色或职位空缺面试，并假装对面试准备有帮助。

伪装成合法Word文档的可执行文件包含第一阶段Enigma加载器。

它的目的是引诱不知情的受害者执行加载程序，随后开始注册并下载第二阶段的有效载荷。

恶意软件功能

Enigma是Stealerium的修改版本。它是用C++编写的，使用API哈希、字符串加密和无关代码来避免被检测到。

该恶意软件具有多阶段有效载荷（模糊加载程序），如EngimaDownloader_s001、EngimaDownloader.s002和EngimaDownloader_s003。

第一、第二和第三阶段有效载荷利用Intel驱动程序漏洞（CVE-2015-2291）加载恶意驱动程序，该驱动程序修补Microsoft防御程序的完整性级别，并将其从系统强制降低为不受信任的完整性。

最后一个阶段部署谜盗器，它在执行时初始化配置并设置其工作目录。

恶意软件基础设施

Enigma在运行中使用两台服务器。第一台服务器利用Telegram发送有效载荷、发送命令和接收有效载荷更新。第二台服务器用于DevOps和日志记录。

有效负载在每个阶段将其执行日志发送到日志服务器，以提高恶意软件性能。

利用Amadey C2面板进行投票和侦察服务，观察到有效载荷。

恶意软件功能

Enigma收集系统信息，并从各种网络浏览器和应用程序（如Google Chrome、Microsoft Edge、Microsoft OpenVPN、Outlook、Signal和Telegram）窃取用户信息、令牌和密码。

它捕获屏幕截图并从受感染的设备中提取剪贴板内容和VPN配置。它压缩收集的信息，并通过Telegram将其过滤给攻击者。

结论

专家们发现，Enigma正在不断开发中，攻击者正在使用高度模糊和回避的技术以及CI/CD原则。建议个人不断更新其安全解决方案，并对社交媒体帖子或网络钓鱼尝试保持谨慎，因为这些帖子提供了工作机会或与加薪相关的诱惑，容易吸引人注意。