Los actores de amenazas detrás del ladrón de información Rhadamanthys han agregado nuevas funciones avanzadas al malware, incluido el uso de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR) como parte de lo que llamamos “reconocimiento de imágenes de oraciones iniciales”.
«Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que las convierte en una amenaza muy poderosa para cualquiera que opere con criptomonedas», dijo Insikt Group of Recorded Future. dicho en un análisis de la versión 0.7.0 del malware.
«El malware puede reconocer imágenes de frases iniciales en el lado del cliente y enviarlas de vuelta al servidor de comando y control (C2) para su posterior explotación».
Descubierto por primera vez en la naturaleza en septiembre de 2022, Rhadamanthys se ha convertido en uno de los ladrones de información más poderosos anunciados bajo el modelo de malware como servicio (MaaS), junto con Lumma y otros.
El malware continúa teniendo una presencia activa a pesar de las prohibiciones de foros clandestinos como Exploit y XSS por apuntar a entidades en Rusia y la ex Unión Soviética, y su desarrollador se llama «kingcrete» (también conocido como «kingcrete2022»), encontrando formas de comercializar. Nuevos lanzamientos en Telegram, Jabber y TOX.
La empresa de ciberseguridad, que debería ser adquirido por Mastercard por 2.650 millones de dólares, dijo que el ladrón se vende mediante suscripción por 250 dólares al mes (o 550 dólares por 90 días), lo que permite a sus clientes recopilar una amplia gama de información confidencial sobre hosts comprometidos.
Esto incluye información del sistema, credenciales, billeteras de criptomonedas, contraseñas del navegador, cookies y datos almacenados en varias aplicaciones, al mismo tiempo que se toman medidas para complicar los esfuerzos de análisis en entornos sandbox.
La versión 0.7.0, la versión más reciente de Rhadamanthys lanzada en junio de 2024, mejora significativamente su predecesora 0.6.0, lanzada en febrero de 2024.
Incluye una «reescritura completa de los marcos del lado del cliente y del lado del servidor, mejorando la estabilidad del tiempo de ejecución del programa», señaló Recorded Future. «Además, se han agregado 30 algoritmos de descifrado de billeteras, gráficos basados en IA y reconocimiento de PDF para extracción de frases. Se ha mejorado la capacidad de extracción de texto para identificar múltiples frases guardadas».
También se incluye una funcionalidad que permite a actores maliciosos ejecutar e instalar archivos del instalador de software de Microsoft (MSI) en un aparente intento de evadir la detección de las soluciones de seguridad instaladas en el host. Además, contiene una configuración para evitar la reejecución dentro de un período de tiempo configurable.
Cadena de infección de alto nivel por Rhadamanthys |
Un aspecto notable de Rhadamanthys es su sistema de complementos que puede aumentar sus capacidades con un registrador de teclas, un cortapelos de criptomonedas y una funcionalidad de proxy inverso.
«Rhadamanthys es una opción popular para los ciberdelincuentes», dijo Recorded Future. “Combinado con su rápido desarrollo y nuevas características innovadoras, esta es una amenaza formidable que todas las organizaciones deberían conocer. »
Este desarrollo se produce cuando Mandiant, propiedad de Google, detalló el uso de Lumma Stealer de la dirección indirecta de flujo de control personalizado para manipular la ejecución de malware.
«Esta técnica frustra todas las herramientas de análisis binario, incluidas IDA Pro y Ghidra, lo que dificulta significativamente no sólo el proceso de ingeniería inversa, sino también las herramientas de automatización diseñadas para capturar artefactos de ejecución y generar detecciones», investigadores Nino Isakovic y Chuong Dong. dicho.
También se descubrieron Rhadamanthys y Lumma, así como otras familias de malware ladrón como Meduza, StealC, Vidar y WhiteSnake. publicar actualizaciones en las últimas semanas para recopilar cookies del navegador web Chrome, evitando mecanismos de seguridad recientemente introducidos, como el cifrado relacionado con las aplicaciones.
Además de eso, los desarrolladores detrás de WhiteSnake Stealer han agregado la capacidad de extraer códigos CVC de tarjetas de crédito almacenadas en Chrome, lo que destaca la naturaleza siempre cambiante del panorama del malware.
Eso no es todo. Los investigadores tienen identificado una campaña de malware de Amadey que implementa un script AutoIt, que luego inicia el navegador de la víctima en modo quiosco para obligarlos a ingresar las credenciales de su cuenta de Google. La información de inicio de sesión se almacena en el almacén de credenciales del navegador en el disco para que ladrones como StealC la recuperen más tarde.
Estas actualizaciones continuas también siguen al descubrimiento de nuevos campañas de descargas drive-by que alimentan a los ladrones de información engañando a los usuarios para que copien y ejecuten manualmente el código de PowerShell para demostrar que son humanos a través de una página engañosa de verificación CAPTCHA.
Como parte de la campaña, los usuarios que buscan servicios de transmisión de video en Google son redirigidos a una URL maliciosa que les solicita presionar el botón de Windows + R para iniciar el menú Ejecutar, pegar un comando PowerShell codificado y ejecutarlo, según NuageSEK, eSentire, Unidad 42 de Palo Alto NetworksY Trabajo seguro.
El ataque, que en última instancia apunta a ladrones como Lumma, StealC y Vidar, es una variación de la campaña ClickFix documentada en los últimos meses por ReliaQuest, Proofpoint, McAfee Labs y Trellix.
«Este nuevo vector de ataque plantea un riesgo significativo porque elude los controles de seguridad del navegador al abrir un símbolo del sistema», dijo Secureworks. «Luego se le solicita a la víctima que ejecute código no autorizado directamente en su host».
También se han observado campañas de phishing y publicidad maliciosa que distribuyen Atomic macOS Stealer (Amós), Rilideasí como una nueva variante de un malware ladrón llamado Registrador de teclas serpiente (también conocido como 404 Keylogger o KrakenKeylogger).
Además, los ladrones de información como Atomic, Rhadamanthys y StealC han estado en el centro de más de 30 campañas de estafa orquestadas por una banda de ciberdelincuentes conocida como Marko Polo para robar criptomonedas en plataformas haciéndose pasar por marcas legítimas en juegos en línea, reuniones virtuales, y software de productividad. y criptomoneda.
«Marko Polo se dirige principalmente a jugadores, personas influyentes en criptomonedas y desarrolladores de software a través de phishing en las redes sociales, destacando el enfoque en las víctimas conocedoras de la tecnología», Recorded Future dichoY añadió que «es probable que decenas de miles de dispositivos se hayan visto comprometidos en todo el mundo».