Los ciberataques que utilizan como gancho ofertas de trabajo falsas no son nuevos, como ya hemos señalado en Escudo Digital explicando algunas señales que denotan que no son reales y ofreciendo consejos de la Guardia Civil para no caer en el engaño. Ahora, queremos informar de la existencia de una campaña maliciosa ejecutada presuntamente por actores de amenazas rusos que también se basa en ofertas de empleo falsas y que, en este caso, se dirige a un objetivo concreto: profesionales del sector de las criptomonedas afincados en Europa del este.
Investigadores de Trend Micro han detectado y rastreado esta campaña, que actualmente permanece activa y tiene como finalidad infectar a las víctimas con una versión modificada del malware 'Stealerium' llamado 'Enigma'. Así lo ha advertido este jueves la compañía de ciberseguridad en un informe publicado en su página web en el que expone los detalles de esta campaña.
Según indica, Stealerium es un malware de tipo stealer (ladrón de información) escrito en el lenguaje de programación C# que tiene capacidades para robar información (stealer), capturar las pulsaciones del teclado (keylogger), detectar cambios en el portapapeles (clipper), así como para registrarse mediante la API de Telegram. En cuanto a Enigma, advierte que apunta a la información del sistema, tokens, contraseñas almacenadas en navegadores web –como Google Chrome, Microsoft Edge y Opera– y a datos almacenados en Microsoft Outlook, Telegram, Signal, OpenVPN y otras aplicaciones.
Cómo funciona esta campaña maliciosa
Siguiendo siempre la información de Trend Micro, la cadena de infección de esta campaña comienza con un archivo RAR malicioso distribuido a través de redes sociales y por correo electrónico. Este archivo contiene dos documentos: uno en formato .txt que lleva por nombre "preguntas de la entrevista.txt" y un ejecutable titulado "condiciones de la entrevista.word.exe".
El primero alberga preguntas en cirílico, sistema de escritura empleado para legitimar el documento fraudulento. Y el segundo incluye una primera carga del malware Enigma con el fin de que se descargue y descomprima el software malicioso, que se instala así en el dispositivo bien en varias partes o en cargas útiles.
Trend Micro también señala que Enigma utiliza dos servidores. Uno que se sirve de Telegram, a través de un canal controlado por los atacantes detrás de esta campaña, para entregar cargas útiles y enviar comandos. Y otro que se usa para DevOps para concluir el registro de la carga maliciosa, que implementa un controlador Intel de modo kernel malicioso y explota una vulnerabilidad de este, identificada como CVE-2015-2291, para conseguir deshabilitar el sistema de seguridad de Microsoft Defender antes de que el malware descargue y ejecute la tercera carga útil.
Una vez integrado en el sistema del dispositivo infectado, Enigma puede recopilar y robar toda la información anteriormente citada, que posteriormente se filtran y se comprimen en un archivo ZIP que termina en manos de los hackers a través de Telegram. Además, estos movimientos quedan registrados en DevOps para continuar desarrollando, perfilando y mejorando el rendimiento del 'malware'.
Las pistas que apuntan a hackers rusos
Trend Micro no atribuye esta campaña con rotundidad, pero ha descubierto tres pistas que parecen indicar que sus responsables son hackers de origen ruso.
La primera es que uno de los servidores de registro que utiliza para rastrear el flujo de ejecución de las infecciones activas aloja un panel Amadey C2, bastante popular en los foros de ciberdelincuencia rusos. La segunda pista es que el servidor ejecuta "Deniska", un sistema Linux al que solo se hace referencia en foros de habla rusa. Y la tercera es que la zona horaria predeterminada del servidor está configurada en Moscú, otro indicador de que los actores de la amenaza son rusos.