False offerte di lavoro con malware Enigma

Un gruppo di hacker russi sta utilizzando offerte di lavoro false per colpire persone dell’Europa orientale che lavorano nel settore delle criptovalute, con lo scopo di infettarli con una versione modificata del malware Stealerium chiamata “Enigma”. Secondo Trend Micro, che sta monitorando questa attività maligna, i criminali informatici usano un insieme di caricamenti altamente offuscati che sfruttano una vecchia vulnerabilità del driver Intel per ridurre l’integrità del token di Microsoft Defender e bypassare le protezioni. Gli attacchi iniziano con un’e-mail che si fa passare per un’offerta di lavoro con interviste false sulla criptovaluta per attirare le loro vittime. Se la vittima viene ingannata e lancia l’eseguibile, viene avviato una catena di payload che alla fine scarica il malware Enigma che ruba informazioni da Telegram. Il malware colpisce le informazioni sul sistema, i token e le password memorizzate nei browser web come Google Chrome, Microsoft Edge, Opera e altri, oltre ai dati memorizzati in applicazioni come Microsoft Outlook, Telegram, Signal, OpenVPN e altre. Enigma può anche catturare schermate dal sistema compromesso e estrarre il contenuto della clipboard o le configurazioni VPN. Tutti i dati rubati vengono compressi in un archivio ZIP e inviati di nuovo ai criminali informatici tramite Telegram. Trend Micro non ha assegnato con certezza l’attribuzione, ma ha scoperto alcuni elementi che potrebbero indicare un gruppo di criminali informatici russi dietro gli attacchi.