Suspeitos de ameaças russas têm visado utilizadores da Europa de Leste na indústria de criptografia com falsas oportunidades de emprego como isco para instalar malware de roubo de informação em hospedeiros comprometidos.
Os atacantes “utilizam vários carregadores personalizados altamente ofuscados e subdesenvolvidos para infectar os envolvidos na indústria da moeda criptográfica com o roubador Enigma”, os investigadores da Trend Micro Aliakbar Zahravi e Peter Girnus disse num relatório esta semana.
Diz-se que o Enigma é uma versão alterada de Stealerium, um malware de código aberto baseado em C# que actua como roubador, cortador, e keylogger.
A intrincada viagem da infecção começa com um arquivo RAR malandro que é distribuído através de plataformas de phishing ou de redes sociais. Contém dois documentos, um dos quais é um ficheiro .TXT que inclui um conjunto de amostras de perguntas de entrevista relacionadas com a moeda criptográfica.
O segundo ficheiro é um documento do Microsoft Word que, embora sirva de chamariz, é encarregado de lançar o carregador Enigma da primeira fase, que, por sua vez, descarrega e executa uma carga útil de fase secundária ofuscada através do Telegrama.
“Para descarregar a próxima fase da carga útil, o malware envia primeiro um pedido ao canal de telegramas controlado pelo atacante […] para obter o caminho do ficheiro”, disseram os investigadores. “Esta abordagem permite ao atacante actualizar continuamente e eliminar a confiança em nomes de ficheiro fixos”.
A segunda fase do descarregador, que é executada com privilégios elevados, foi concebida para desactivar o Microsoft Defender e instalar uma terceira fase através da instalação de um driver Intel em modo kernel legitimamente assinado que é vulnerável ao CVE-2015-2291 num técnica chamada Traga o seu próprio Condutor Vulnerável (BYOVD).
Vale a pena notar que a U.S. Cybersecurity and Infrastructure Security Agency (CISA) acrescentou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando provas de exploração activa na natureza.
A terceira fase da carga útil acaba por abrir caminho para o download do Enigma Stealer de um canal de Telegramas controlado por actor. O malware, tal como outros ladrões, vem com características para recolher informação sensível, gravar toques de teclas, e captar capturas de ecrã, tudo isto é exfiltrado de volta por meio de Telegrama.
As ofertas de emprego falsas são uma táctica experimentada e testada pelo Grupo Lazarus apoiado pela Coreia do Norte nos seus ataques contra o sector criptográfico. A adopção deste modus operandi pelos actores da ameaça russa “demonstra um vector de ataque persistente e lucrativo”.
Os resultados vêm como Uptycs lançado detalhes de uma campanha de ataque que aproveita o malware do Stealerium para desviar dados pessoais, incluindo credenciais para carteiras de moeda criptográfica como Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty, e Zcash, entre outros.
Juntando Enigma Stealer e Stealerium na mira de carteiras de moeda criptográfica é mais um malware dublado Ladrão Vectorial que também vem com capacidades para roubar ficheiros .RDP, permitindo que os actores da ameaça efectuem o desvio de RDP para acesso remoto, disse Cyble num relatório técnico.
Cadeias de ataque documentadas pelas empresas de ciber-segurança mostram que as famílias de malware são entregues através de anexos do Microsoft Office contendo macros maliciosas, sugerindo que os malfeitores continuam a confiar no método, apesar das tentativas da Microsoft para fechar a lacuna.
Um método semelhante foi também utilizado para a instalação de um mineiro criptográfico Monero contra o pano de fundo de uma campanha de criptojacking e phishing dirigida a utilizadores espanhóis, de acordo com Laboratórios Fortinet FortiGuard.
O desenvolvimento é também o último de uma longa lista de ataques que visam roubar os bens de moeda criptográfica das vítimas através de plataformas.
Isto inclui um trojan bancário Android em “rápida evolução” referido como TgToxic, que saqueia credenciais e fundos de carteiras criptográficas, bem como aplicações bancárias e financeiras. A campanha malware em curso, activa desde Julho de 2022, é dirigida contra utilizadores móveis em Taiwan, Tailândia, e Indonésia.
“Quando a vítima descarrega a aplicação falsa a partir do website dado pelo actor da ameaça, ou se a vítima tenta enviar uma mensagem directa ao actor da ameaça através de aplicações de mensagens como a WhatsApp ou a Viber, o cibercriminoso engana o utilizador para se registar, instalar o malware e permitir as permissões de que necessita,” Trend Micro disse.
As aplicações desonestas, além de abusarem dos serviços de acessibilidade do Android para realizar as transferências de fundos não autorizadas, são também notáveis por abusarem de estruturas de automação legítimas como o Easyclick e o Auto.js para realizar cliques e gestos, tornando-o no segundo malware Android depois do PixPirate para incorporar tais IDEs de fluxo de trabalho.
Mas as campanhas de engenharia social também foram além do phishing e do smishing dos meios de comunicação social, criando páginas de aterragem convincentes que imitam serviços criptográficos populares com o objectivo de transferir Ethereum e NFTs das carteiras pirateadas.
Isto, de acordo com Recorded Future, é conseguido injectando um guião criptográfico de drenagem na página de phishing que atrai as vítimas a ligar as suas carteiras com ofertas lucrativas a fichas não fungíveis de hortelã (NFTs).
Estas páginas de phishing prontas estão a ser vendidas em fóruns da Darknet como parte do que se chama um phishing-as-a-service (PhaaS), permitindo a outros actores alugar estes pacotes e decretar rapidamente operações maliciosas à escala.
“‘Crypto drainers’ são scripts maliciosos que funcionam como e-skimmers e são utilizados com técnicas de phishing para roubar os bens criptográficos das vítimas,” a empresa disse num relatório publicado na semana passada, descrevendo os golpes como eficazes e de popularidade crescente.
“A utilização de serviços legítimos em páginas de phishing criptográficas de drenagem pode aumentar a probabilidade de a página de phishing passar o ‘teste de tornassol’ de um utilizador com conhecimento de causa”. Uma vez que as carteiras criptográficas tenham sido comprometidas, não existem salvaguardas para impedir a transferência ilícita de bens para as carteiras dos atacantes”.
As agressões ocorrem numa altura em que grupos criminosos roubaram um recorde de 3,8 mil milhões de dólares a empresas criptográficas em 2022, com grande parte do pico atribuído às tripulações de hacking patrocinadas pelo estado norte-coreano.