可疑的俄羅斯威脅分子一直以加密貨币行業的東歐用戶為目标,将虛假的工作機會作為誘餌,企圖在受感染的主機上安裝竊取信息的惡意軟件。
趨勢科技公司的兩位研究人員 Aliakbar Zahravi 和 Peter Girnus 在本周的一份報告中表示,攻擊者 " 使用了幾種新穎的高度混淆處理的自定義加載器,以便用竊取信息的 Enigma 惡意軟件感染加密貨币行業的那些人員。"
據稱 Enigma 是 Stealerium 的一個變種,而 Stealerium 是一種基于 C# 的開源惡意軟件,可以充當竊取器、剪切器和鍵盤記錄器。
整個錯綜複雜的感染過程始于一個通過網絡釣魚或社交媒體平台傳播的惡意 RAR 壓縮包文件。它含有兩個文檔,一個文檔是 .TXT 文件,該文件含有一組與加密貨币相關的示例面試問題。
第二個文檔是一個微軟 Word 文檔,充當誘餌的作用,負責啟動第一階段的 Enigma 加載器,加載器反過來通過 Telegram 下載并執行一個經過模糊處理的第二階段攻擊載荷。
兩位研究人員表示,為了下載下一階段的攻擊載荷,惡意軟件首先向攻擊者控制的 Telegram 頻道發送請求,以便獲取文件路徑。這種方法讓攻擊者可以不斷更新,擺脫了對固定文件名的依賴。
第二階段的下載程序在獲得提升權限的情況下執行,旨在禁用微軟 Defender,并通過部署一個合法簽名的内核模式英特爾驅動程序來安裝第三階段攻擊載荷,而這個驅動程序在一種名為自帶易受攻擊的驅動程序(BYOVD)的技術中容易受到 CVE-2015-2291 的攻擊。
值得一提的是,美國網絡安全和基礎設施安全管理局(CISA)已将該漏洞添加到其已知被利用漏洞(KEV)目錄中,并提到了表明該漏洞在外面被大肆利用的證據。
第三階段的攻擊載荷最終為從威脅分子控制的 Telegram 頻道下載 Enigma Stealer 鋪平了道路。這種惡意軟件與其他竊取器一樣,具有收集敏感信息、記錄擊鍵内容和獲取屏幕截圖的功能,所有這些信息都通過 Telegram 洩露給威脅分子。
圖 1. Enigma Stealer 團夥使用的攻擊殺傷鍊
虛假的工作錄用是朝鮮政府撐腰的 Lazarus Group 在針對加密貨币行業的攻擊中采用的一種屢試不爽的手法。俄羅斯威脅分子采用這種作案手法 " 表明了這是一種具有持久性、有利可圖的攻擊途徑。"
差不多在同一時間,Uptycs 發布了一起攻擊活動的細節,這起活動利用 Stealerium 惡意軟件竊取個人數據,包括 Armory、Atomic Wallet、Coinomi、Electrum、Exodus、Guarda、Jaxx Liberty 和 Zcash 等加密貨币錢包的憑據。
圖 2. Stealerium 感染流程
Cyble 在一篇技術文章中表示,除了 Enigma Stealer 和 Stealerium 外,還有一種名為 Vector Stealer 的惡意軟件也瞄準了加密貨币錢包,它同樣具有竊取 .RDP 文件的功能,從而使威脅分子能夠實施 RDP 劫持活動,以實現遠程訪問。
多家網絡安全公司記載的攻擊鍊顯示,多個惡意軟件家族是通過含有惡意宏的微軟 Office 附件傳播的,這表明盡管微軟試圖堵住這個漏洞,但不法分子仍在依賴這種方法。
據飛塔 FortiGuard 實驗室聲稱,在一起加密貨币劫持和網絡釣魚活動針對西班牙用戶的背景下,一種類似的方法也被用于部署門羅(Monero)加密貨币挖礦軟件。
圖 3. XMRig 在挖掘門羅币
一系列攻擊旨在竊取受害者在衆多平台上的加密貨币資産,而這起活動是其中最新的一起。
這包括一種 " 迅猛發展 " 的安卓銀行木馬,這種名為 TgToxic 的木馬從加密貨币錢包以及從銀行和金融應用程序掠奪憑據和資金。這起正在肆虐的惡意軟件活動自 2022 年 7 月開始,針對中國台灣、泰國和印度尼西亞的移動用戶。
趨勢科技表示,一旦受害者從威脅分子提供的網站下載虛假應用程序,或者如果受害者試圖通過 WhatsApp 或 Viber 等消息應用程序直接向威脅分子發送消息,網絡犯罪分子就會欺騙用戶注冊、安裝惡意軟件并啟用它所需要的權限。
這些惡意應用程序除了濫用安卓的輔助功能服務來進行未經授權的資金轉移外,還可以利用合法的自動化框架(比如 Easyclick 和 Auto.js),以執行點擊和手勢操作,使其成為繼 PixPirate 之後第二種使用這類工作流 IDE 的安卓惡意軟件。
但利用社交工程伎倆的活動不僅限于社交媒體網絡釣魚和詐騙手段,它們還設立了以假亂真的登錄頁面,冒充流行的加密貨币服務,目的是從被黑客攻擊的錢包中轉移以太坊和非同質代币(NFT)。
據 Recorded Future 公司聲稱,這是通過在網絡釣魚頁面中注入加密貨币竊取腳本來實現的,釣魚頁面誘使受害者将他們的錢包與條件誘人的工作錄用關聯起來,以生成 NFT。
這種現成的網絡釣魚頁面在暗網論壇上出售,這其實是所謂的網絡釣魚即服務(PhaaS)騙局的一部分,允許其他威脅分子出租這些軟件包,并迅速實施大規模惡意活動。
這家公司在上周發布的一份報告中表示:" 加密貨币竊取腳本是一種惡意腳本,其功能類似電子盜刷器,可與網絡釣魚技術一起部署,以竊取受害者的加密貨币資産。" 這種騙局很有效,而且越來越受歡迎。
在加密貨币竊取釣魚頁面上使用合法服務可能會加大這種釣魚頁面騙過精明用戶的 " 騙局試金石測試 " 的可能性。一旦加密貨币錢包受到危及,就沒有任何防範措施可以防止資産非法轉移到攻擊者的錢包中。
這些攻擊發生在這種大背景之下:犯罪團夥在 2022 年從加密貨币企業竊取了創紀錄的 38 億美元,其中大部分贓款是朝鮮政府撐腰的黑客團夥所得的。
