Enigma Stealer
Enigma Stealerは名前の通りインフォスティーラーマルウェアです。
どのように動くのでしょうか。
- 入口はメール
攻撃はメールから始まります。
メールの添付ファイルとして被害者環境に入ってきます。
メールからの始まり方のほかに、ソーシャルメディア経由で同じファイルを取得させるところから始まる事例も確認されています。 - ファイルはアーカイブ
そのファイルはRARファイルです。
contract.rarという名前です。
契約書の入ったアーカイブであることを連想させるファイル名になっています。
アーカイブファイルの中には、2つのファイルが含まれています。
Interview Questions.txtとInterview conditions.word.exeです。
テキストファイルは普通のテキストファイルです。
テキストファイルでないほうは、実行ファイルなのですが、アイコンがマイクロソフトワードのアイコンに見えるものになっています。
Windowsの設定で拡張子が表示されないようにしている人の場合、ワードの文書ファイルなのだと思ってしまうかもしれません。 - 実行ファイルの実行
テキストファイルには先に読みたくなるファイル名が付けられています。
その後自然な流れでもう一つのファイルを開こうとしてしまうかもしません。
でも二つ目のファイルはワードの文書ファイルではなく実行ファイルです。
感染行為が開始されます。 - 第1段階のEnigmaローダー
ワードの文書ファイルに見えるファイルは第1段階のEnigmaローダーでした。
EnigmaローダーはC++で記述されたダウンローダーです。
第2段階のペイロードを取得します。
このダウンローダーには、APIハッシュ、文字列の暗号化、無関係なコードを挿入する、などの複数の検出回避と解析の困難化を狙った取り組みが盛り込まれています。 - 第2段階のペイロード
第2段階のペイロードはDLLです。
こちらもC++で記述されています。
CVE-2015-2291のBYOVDを悪用して特権昇格を狙います。
BYOVDはBring Your Own Vulnerable Driverです。
特権を獲得すると、マルウェアは感染環境のMicrosoft Defender を無効にします。
そして第3段階のペイロードを取得します。 - 第3段階のペイロード
第3段階はEnigma Stealerをダウンロードします。
この段階までくるともうマルウェア本体の活動環境が整備された状態になったということでしょうか。 - Enigma Stealerの実行
Enigma Stealerが実行されます。
Enigma StealerはGoogle Chrome、Edge、OperaなどのWebブラウザに保存されているシステム情報、トークン、パスワードを取得します。
Outlook、Telegram、Signal、OpenVPN、などのアプリに保存されているデータも取得します。
スクリーンショットを取得する機能も搭載していますし、クリップボード取得機能も実装されています。
取得した各種情報はZIPファイルにアーカイブされます。
そしてZIPはTelegramで持ち出されます。
この脅威はマルウェアを被害者が実行することで開始されます。
このマルウェア被害の回避の作戦はシンプルです。
出所の確かでないファイルを開かないことです。
つい内容を確認したくなるファイル名で迫ってきますが、そういったものに惑わされてはなりません。
技術的な防御環境の構築も重要ですが、こうしたファイルを開いてしまわないように注意するということの重要性を感じます。
参考記事(外部リンク):Enigma Stealer Targets Cryptocurrency Industry with Fake Jobs
www.trendmicro.com/en_us/research/23/b/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html
