De bedreigingsactoren achter de informatiesteler Rhadamanthys hebben nieuwe geavanceerde functies aan de malware toegevoegd, waaronder het gebruik van kunstmatige intelligentie (AI) voor optische tekenherkenning (OCR) als onderdeel van wat ‘Seed Phrase Image Recognition’ wordt genoemd.
“Hierdoor kan Rhadamanthys cryptocurrency portemonnee-zaadzinnen uit afbeeldingen halen, waardoor het een zeer krachtige bedreiging wordt voor iedereen die in cryptocurrencies handelt”, zei Insikt Group van Recorded Future in een analyse van versie 0.7.0 van de malware.
“De malware kan zaadzinafbeeldingen aan de clientzijde herkennen en deze terugsturen naar de command-and-control (C2) server voor verdere exploitatie.”
Rhadamanthys werd voor het eerst in september 2022 in het wild ontdekt en is uitgegroeid tot een van de krachtigste informatiestelers die, naast Lumma en anderen, worden geadverteerd onder het Malware-as-a-Service (MaaS)-model.
De malware blijft actief aanwezig ondanks verboden op ondergrondse forums als Exploit en XSS voor het aanvallen van entiteiten binnen Rusland en de voormalige Sovjet-Unie, waarbij de ontwikkelaar, die de naam “kingcrete” draagt (ook bekend als “kingcrete2022”), manieren vindt om om de nieuwe versies op Telegram, Jabber en TOX op de markt te brengen.
Het cyberbeveiligingsbedrijf, dat door Mastercard zal worden overgenomen voor 2,65 miljard dollar, zei dat de diefstal op abonnementsbasis wordt verkocht voor 250 dollar per maand (of 550 dollar voor 90 dagen), waardoor zijn klanten een breed scala aan gevoelige informatie kunnen verzamelen uit gecompromitteerde computers. gastheren.
Dit omvat systeeminformatie, inloggegevens, cryptocurrency-portefeuilles, browserwachtwoorden, cookies en gegevens die zijn opgeslagen in verschillende applicaties, terwijl tegelijkertijd stappen worden ondernomen om analyse-inspanningen binnen sandbox-omgevingen te bemoeilijken.
Versie 0.7.0, de meest recente versie van Rhadamanthys uitgebracht in juni 2024, is een aanzienlijke verbetering ten opzichte van zijn voorganger 0.6.0, die in februari 2024 uitkwam.
Het omvat een “volledige herschrijving van zowel de client- als de server-side frameworks, waardoor de uitvoeringsstabiliteit van het programma wordt verbeterd”, aldus Recorded Future. “Bovendien zijn er 30 algoritmen voor het kraken van portemonnees, AI-aangedreven graphics en PDF-herkenning voor het extraheren van zinnen toegevoegd. De mogelijkheid om tekst te extraheren is verbeterd om meerdere opgeslagen zinnen te identificeren.”
Ook inbegrepen is een functie waarmee bedreigingsactoren Microsoft Software Installer-bestanden (MSI) kunnen uitvoeren en installeren in een schijnbare poging om detectie door beveiligingsoplossingen die op de host zijn geïnstalleerd te omzeilen. Het bevat verder een instelling om heruitvoering binnen een configureerbaar tijdsbestek te voorkomen.
Een opmerkelijk aspect van Rhadamanthys is het plug-insysteem dat de mogelijkheden kan uitbreiden met keylogger, cryptocurrency-clipper en reverse proxy-functionaliteit.
“Rhadamanthys is een populaire keuze onder cybercriminelen”, aldus Recorded Future. “In combinatie met de snelle ontwikkeling en innovatieve nieuwe functies is het een formidabele bedreiging waar alle organisaties zich bewust van moeten zijn.”
De ontwikkeling komt op het moment dat Mandiant, eigendom van Google, gedetailleerd uitlegde hoe Lumma Stealer gebruik maakte van aangepaste control flow-indirectie om de uitvoering van de malware te manipuleren.
“Deze techniek dwarsboomt alle binaire analysetools, waaronder IDA Pro en Ghidra, en belemmert niet alleen het reverse engineering-proces aanzienlijk, maar ook automatiseringstools die zijn ontworpen om uitvoeringsartefacten vast te leggen en detecties te genereren”, aldus onderzoekers Nino Isakovic en Chuong Dong.
Rhadamanthys en Lumma hebben, samen met andere stealer-malwarefamilies zoals Meduza, StealC, Vidar en WhiteSnake, de afgelopen weken ook updates uitgebracht om cookies uit de Chrome-webbrowser te verzamelen, waardoor nieuw geïntroduceerde beveiligingsmechanismen zoals app-gebonden encryptie effectief worden omzeild.
Bovendien hebben de ontwikkelaars achter de WhiteSnake Stealer de mogelijkheid toegevoegd om CVC-codes te extraheren uit creditcards die zijn opgeslagen in Chrome, wat de steeds evoluerende aard van het malwarelandschap benadrukt.
Dat is niet alles. Onderzoekers hebben een Amadey-malwarecampagne geïdentificeerd die een AutoIt-script inzet, dat vervolgens de browser van het slachtoffer in kioskmodus start om hem te dwingen de inloggegevens van zijn Google-account in te voeren. De inloggegevens worden opgeslagen in de inloggegevens van de browser op schijf, zodat ze later kunnen worden geoogst door stealers zoals StealC.
Deze voortdurende updates volgen ook op de ontdekking van nieuwe drive-by downloadcampagnes die informatiestelers opleveren door gebruikers te misleiden om handmatig PowerShell-code te kopiëren en uit te voeren om te bewijzen dat ze menselijk zijn door middel van een misleidende CAPTCHA-verificatiepagina.
Als onderdeel van de campagne worden gebruikers die op Google naar videostreamingdiensten zoeken, omgeleid naar een kwaadaardige URL die hen aanspoort om op de Windows-knop + R te drukken om het menu Uitvoeren te openen, een gecodeerde PowerShell-opdracht te plakken en deze uit te voeren, aldus CloudSEK, eSentire , Palo Alto Networks Unit 42 en Secureworks.
De aanval, die uiteindelijk stealers als Lumma, StealC en Vidar oplevert, is een variant van de ClickFix-campagne die de afgelopen maanden is gedocumenteerd door ReliaQuest, Proofpoint, McAfee Labs en Trellix.
“Deze nieuwe aanvalsvector vormt een aanzienlijk risico, omdat het de beveiligingscontroles van de browser omzeilt door een opdrachtprompt te openen”, aldus Secureworks. “Het slachtoffer krijgt vervolgens de opdracht om ongeautoriseerde code rechtstreeks op zijn host uit te voeren.”
Er zijn ook phishing- en malvertisingcampagnes waargenomen waarbij Atomic macOS Stealer (AMOS), Rilide werd verspreid, evenals een nieuwe variant van een stealer-malware genaamd Snake Keylogger (ook bekend als 404 Keylogger of KrakenKeylogger).
Bovendien hebben informatiestelers zoals Atomic, Rhadamanthys en StealC de kern gevormd van meer dan 30 oplichtingscampagnes die zijn georkestreerd door een cybercriminaliteitsbende die bekend staat als Marko Polo om cryptocurrency-diefstal op verschillende platforms te plegen door zich voor te doen als legitieme merken in online gaming, virtuele vergaderingen en productiviteitssoftware. en cryptocurrency.
“Marko Polo richt zich primair op gamers, cryptocurrency-beïnvloeders en softwareontwikkelaars via spear-phishing op sociale media – waarbij de nadruk wordt gelegd op technisch onderlegde slachtoffers”, aldus Recorded Future, eraan toevoegend dat “waarschijnlijk tienduizenden apparaten wereldwijd zijn gecompromitteerd.”