Cyberthreat.id – Peneliti keamanan Trend Micro menemukan ktor ancaman Rusia menggunakan tawaran pekerjaan palsu untuk menargetkan individu yang bekerja di industri cryptocurrency, yang bertujuan untuk menginfeksi mereka dengan versi modifikasi dari malware Stealerium bernama “Enigma”.

Dikutip dari Bleeping Computer, Trend Micro telah melacak aktivitas jahat, pelaku ancaman menggunakan sekumpulan pemuat yang sangat dikaburkan yang mengeksploitasi cacat driver Intel lama untuk mengurangi integritas token Pertahanan Microsoft dan melewati perlindungan.

Serangan dimulai dengan email yang berpura-pura menjadi tawaran pekerjaan dengan wawancara cryptocurrency palsu untuk memikat target mereka. Email tersebut memiliki lampiran arsip RAR yang berisi TXT ("pertanyaan wawancara.txt") dan yang dapat dieksekusi ("kondisi wawancara.kata.exe").

File teks berisi pertanyaan wawancara yang ditulis dalam Cyrillic, yang mengikuti format standar dan dibuat seolah-olah sah. Jika korban ditipu meluncurkan executable, rangkaian muatan dieksekusi yang akhirnya mengunduh malware pencuri informasi Enigma dari Telegram.

“Pengunduh tahap pertama adalah alat C++ yang menggunakan teknik seperti pencirian API, enkripsi string, dan kode yang tidak relevan untuk menghindari deteksi saat mengunduh dan meluncurkan muatan tahap kedua, UpdateTask.dll,” kata Trend Micro.

Payload tahap kedua, juga ditulis dalam C++, menggunakan teknik "Bring Your Own Rentan Driver" (BYOVD) untuk mengeksploitasi kerentanan CVE-2015-2291 Intel. Cacat driver Intel ini memungkinkan perintah dijalankan dengan hak istimewa Kernel. Pelaku ancaman menyalahgunakan kerentanan ini untuk menonaktifkan Pertahanan Microsoft sebelum malware mengunduh muatan ketiga.

Tahap ketiga mengunduh muatan terakhir, Enigma Stealer, dari saluran Telegram pribadi, yang menurut Trend Micro adalah versi Stealerium yang dimodifikasi, malware pencuri informasi sumber terbuka.

Enigma menargetkan informasi sistem, token, dan kata sandi yang disimpan di browser web seperti Google Chrome, Microsoft Edge, Opera, dan lainnya. Selain itu, ini menargetkan data yang disimpan di Microsoft Outlook, Telegram, Signal, OpenVPN, dan aplikasi lainnya. Enigma juga dapat menangkap tangkapan layar dari sistem yang disusupi dan mengekstrak konten clipboard atau konfigurasi VPN.

“Terakhir, semua data yang dicuri dikompresi dalam arsip ZIP ("Data.zip") dan dikirim kembali ke pelaku ancaman melalui Telegram,” kata Trend Micro.

Beberapa string Enigma, seperti jalur browser web dan URL layanan API Geolokasi, dienkripsi dengan algoritme AES dalam mode cipher-block chaining (CBC), kemungkinan untuk menyembunyikan data dan mencegah akses atau perusakan yang tidak sah.

Trend Micro belum menetapkan atribusi dengan keyakinan yang kuat, tetapi menemukan beberapa elemen yang mungkin mengindikasikan pelaku ancaman Rusia berada di balik serangan tersebut.

Petunjuk pertama adalah bahwa salah satu server logging yang digunakan dalam kampanye ini untuk melacak aliran eksekusi infeksi aktif menghosting panel Amadey C2, yang cukup populer di forum kejahatan dunia maya Rusia.

Kedua, server menjalankan "Deniska", sistem Linux tujuan khusus yang hanya dirujuk di forum berbahasa Rusia. Terakhir, zona waktu default server diatur ke Moskow, indikator lain bahwa pelaku ancaman adalah orang Rusia.

Lebih umum untuk melihat aktor ancaman Korea Utara mengoperasikan kampanye yang mempromosikan tawaran pekerjaan palsu yang menargetkan orang yang bekerja di industri fintech. Jadi, melihat orang Rusia mengadopsi tema ini merupakan perkembangan yang menarik.