Ciberdelincuentes propagan ‘malware’ a través de falsas entrevistas de trabajo
El delito se lleva a cabo a través de correos electrónicos y afecta principalmente al sector de las criptomonedas.
Una campaña ejecutada por actores de amenazas rusos se centra en el envío de correos electrónicos fraudulentos que integran ‘malware’ con presuntas ofertas de empleo y dirigidos a profesionales del sector de las criptomonedas.
Investigadores de Trend Micro han analizado la actividad de este grupo de ciberdelincuentes, quienes han logrado infectar varios equipos con una versión modificada del ‘malware’ Stealerium y que recibe el nombre de Enigma.
INFORMACIÓN DEL MALWARE
Stealerium es un ladrón de información integrado en el lenguaje de programación C# que envía registros de información robada a un servidor controlado por los propios actores de amenazas. Además de hacerse con este tipo de información, puede hacer capturas de pantalla y hasta registrar las pulsaciones de las teclas.
En este caso, Enigma ha empleado falsas ofertas y entrevistas de empleo destinadas a profesionales del sector de las criptomonedas de Europa del Este con una cadena de infección que comienza con un archivo RAR malicioso distribuido a través de redes sociales y por correo electrónico.
El archivo que reciben las víctimas contiene dos documentos: uno en el que se nombran las preguntas de la entrevista (documento con formato .txt) y otro en el que presuntamente se incluyen las condiciones del puesto de empleo (.word.exe).
El archivo de la entrevista contiene preguntas en cirílico, sistema de escritura empleado para legitimar el documento fraudulento. Por otro lado, el archivo de las condiciones de la vacante contiene el una primera carga del ‘malware’ Enigma. Su objetivo es el de descargar y descomprimir el ‘software’ malicioso, que se instala en el dispositivo en varias partes o cargas útiles.
ANÁLISIS DE LA EMPRESA DE SEGURIDAD
Según el estudio de Trend Micro, Enigma utiliza dos servidores. El primero se sirve de la aplicación Telegram, a través de un canal controlado por el atacante, para entregar cargas útiles y enviar comandos.
El segundo se utiliza para DevOps y para concluir el registro de la carga maliciosa, cuyo objetivo principal es deshabilitar el sistema de seguridad de Microsoft Defender al implementar un controlador Intel de modo kernel malicioso y explotar una vulnerabilidad de este, identificada como CVE-2015-2291.
Esta brecha del controlador permite que los comandos se ejecuten con privilegios de kernel, de modo que los actores de amenazas logran deshabilitar Microsoft Defender antes de que el ‘software’ malicioso descargue y ejecute la tercera carga útil.
LOS ÚLTIMOS PASOS DEL CIBERDELITO
Una vez integrado en el sistema del dispositivo infectado, Enigma recopila y roba información del sistema y del usuario, entre la que se encuentran contraseñas de varios navegadores web y aplicaciones como Google Chrome, Microsoft Edge, Signal, Telegram, OpenVPN y Microsoft Outlook, entre otros.
Una vez recopilados estos datos, se filtran y se comprimen en un archivo ZIP para enviarlo al propio actor de amenazas a través de la aplicación de mensajería Telegram. Estos movimientos quedan registrados en DevOps para continuar desarrollando, perfilando y mejorando el rendimiento del ‘malware’.