Os atores da ameaça por trás do ladrão de informações Rhadamanthys adicionaram novos recursos avançados ao malware, incluindo o uso de inteligência synthetic (IA) para reconhecimento óptico de caracteres (OCR) como parte do que é chamado de “Reconhecimento de imagem de frase-semente”.
“Isso permite que Rhadamanthys extraia frases iniciais de carteiras de criptomoedas de imagens, tornando-se uma ameaça altamente potente para qualquer pessoa que negocie com criptomoedas”, disse o Insikt Group da Recorded Future em uma análise da versão 0.7.0 do malware.
“O malware pode reconhecer imagens de frases iniciais no lado do cliente e enviá-las de volta ao servidor de comando e controle (C2) para exploração adicional.”
Descoberto pela primeira vez em setembro de 2022, Rhadamanthys emergiu como um dos mais potentes ladrões de informações anunciados sob o modelo de malware como serviço (MaaS), ao lado de Lumma e outros.
O malware continua a ter uma presença ativa, apesar de sofrer proibições de fóruns clandestinos como Exploit e XSS por atingir entidades na Rússia e na antiga União Soviética, com seu desenvolvedor, que atende pelo nome de “kingcrete” (também conhecido como “kingcrete2022”), encontrando maneiras para comercializar as novas versões no Telegram, Jabber e TOX.
A empresa de segurança cibernética, que será adquirida pela Mastercard por US$ 2,65 bilhões, disse que o ladrão é vendido por assinatura por US$ 250 por mês (ou US$ 550 por 90 dias), permitindo que seus clientes coletem uma ampla gama de informações confidenciais de arquivos comprometidos. anfitriões.
Isso inclui informações do sistema, credenciais, carteiras de criptomoedas, senhas de navegadores, cookies e dados armazenados em vários aplicativos, ao mesmo tempo em que toma medidas para complicar os esforços de análise em ambientes em sandbox.
A versão 0.7.0, a versão mais recente do Rhadamanthys lançada em junho de 2024, melhora significativamente seu antecessor 0.6.0, lançado em fevereiro de 2024.
Ele compreende uma “reescrita completa das estruturas do lado do cliente e do lado do servidor, melhorando a estabilidade de execução do programa”, observou Recorded Future. “Além disso, foram adicionados 30 algoritmos de quebra de carteira, gráficos alimentados por IA e reconhecimento de PDF para extração de frases. A capacidade de extração de texto foi aprimorada para identificar várias frases salvas.”
Também está incluído um recurso que permite que os agentes de ameaças executem e instalem arquivos do Microsoft Software program Installer (MSI) em um aparente esforço para evitar a detecção por soluções de segurança instaladas no host. Além disso, contém uma configuração para evitar a reexecução dentro de um período de tempo configurável.
 |
| Cadeia de infecção de alto nível de Rhadamanthys |
Um aspecto digno de nota do Rhadamanthys é seu sistema de plug-ins que pode aumentar seus recursos com keylogger, clipper de criptomoeda e funcionalidade de proxy reverso.
“Rhadamanthys é uma escolha well-liked para os cibercriminosos”, disse a Recorded Future. “Juntamente com seu rápido desenvolvimento e novos recursos inovadores, é uma ameaça formidável da qual todas as organizações deveriam estar cientes”.
O desenvolvimento ocorre no momento em que a Mandiant, de propriedade do Google, detalha o uso do Lumma Stealer de indireção de fluxo de controle personalizado para manipular a execução do malware.
“Essa técnica frustra todas as ferramentas de análise binária, incluindo IDA Professional e Ghidra, dificultando significativamente não apenas o processo de engenharia reversa, mas também as ferramentas de automação projetadas para capturar artefatos de execução e gerar detecções”, disseram os pesquisadores Nino Isakovic e Chuong Dong.
Rhadamanthys e Lumma, junto com outras famílias de malwares ladrões como Meduza, StealC, Vidar e WhiteSnake, também foram encontrados lançando atualizações nas últimas semanas para coletar cookies do navegador Chrome, contornando efetivamente mecanismos de segurança recém-introduzidos, como criptografia vinculada a aplicativos.
Além disso, os desenvolvedores do WhiteSnake Stealer adicionaram a capacidade de extrair códigos CVC de cartões de crédito armazenados no Chrome, destacando a natureza em constante evolução do cenário de malware.
Isso não é tudo. Os pesquisadores identificaram uma campanha de malware Amadey que implanta um script AutoIt, que então inicia o navegador da vítima no modo quiosque para forçá-la a inserir as credenciais de sua conta do Google. As informações de login são armazenadas no armazenamento de credenciais do navegador em disco para posterior coleta por ladrões como o StealC.
Essas atualizações contínuas também seguem a descoberta de novas campanhas de obtain drive-by que entregam ladrões de informações, enganando os usuários para que copiem e executem manualmente o código do PowerShell para provar que são humanos por meio de uma página de verificação CAPTCHA enganosa.
Como parte da campanha, os usuários que procuram serviços de streaming de vídeo no Google são redirecionados para um URL malicioso que os incentiva a pressionar o botão Home windows + R para iniciar o menu Executar, colar um comando codificado do PowerShell e executá-lo, de acordo com CloudSEK, eSentire , Unidade 42 da Palo Alto Networks e Secureworks.
O ataque, que acaba entregando ladrões como Lumma, StealC e Vidar, é uma variante da campanha ClickFix documentada nos últimos meses por ReliaQuest, Proofpoint, McAfee Labs e Trellix.
“Este novo vetor de ataque representa um risco significativo, pois contorna os controles de segurança do navegador abrindo um immediate de comando”, disse Secureworks. “A vítima é então orientada a executar código não autorizado diretamente em seu host”.
Campanhas de phishing e malvertising também foram observadas distribuindo Atomic macOS Stealer (AMOS), Rilide, bem como uma nova variante de um malware ladrão chamado Snake Keylogger (também conhecido como 404 Keylogger ou KrakenKeylogger).
Além disso, ladrões de informações como Atomic, Rhadamanthys e StealC estiveram no centro de mais de 30 campanhas fraudulentas orquestradas por uma gangue de crimes cibernéticos conhecida como Marko Polo para conduzir roubo de criptomoedas em plataformas, personificando marcas legítimas em jogos on-line, reuniões virtuais e software program de produtividade. e criptomoeda.
“O Marko Polo tem como alvo principal jogadores, influenciadores de criptomoedas e desenvolvedores de software program por meio de spear-phishing nas redes sociais – destacando seu foco em vítimas que entendem de tecnologia”, disse a Recorded Future, acrescentando que “provavelmente dezenas de milhares de dispositivos foram comprometidos globalmente”.