Een bijgewerkte versie van een informatiestelende malware genaamd Rhadamanthys wordt gebruikt in phishing-campagnes gericht op de olie- en gassector.
“De phishing-e-mails maken gebruik van een uniek lokmiddel voor voertuigincidenten en vervalsen in latere stadia van de infectieketen het Federal Bureau of Transportation in een pdf waarin een aanzienlijke boete voor het incident wordt vermeld”, aldus Cofense-onderzoeker Dylan Duncan.
Het e-mailbericht wordt geleverd met een kwaadaardige link die gebruik maakt van een open omleidingsfout om de ontvangers naar een link te leiden die een zogenaamd PDF-document host, maar in werkelijkheid is het een afbeelding die, door erop te klikken, een ZIP-archief downloadt met de stealer-payload.
Rhadamanthys is geschreven in C++ en is ontworpen om verbindingen tot stand te brengen met een command-and-control (C2)-server om gevoelige gegevens van de getroffen hosts te verzamelen.
“Deze campagne verscheen binnen enkele dagen nadat de politie de LockBit-ransomwaregroep had uitgeschakeld”, zei Duncan. “Hoewel dit toeval zou kunnen zijn, onthulde Trend Micro in augustus 2023 een Rhadamanthys-variant die werd geleverd met een gelekte LockBit-payload, naast een clipper-malware en cryptocurrency-miner.
“De bedreigingsactoren hebben een combinatie van een informatiedief en een LockBit-ransomwarevariant toegevoegd aan één Rhadamanthys-bundel, wat mogelijk wijst op de voortdurende evolutie van de malware”, aldus het bedrijf. dat is genoteerd.
De ontwikkeling komt te midden van een gestage stroom nieuwe stealer-malwarefamilies zoals Sync-Scheduler en Machtige stelerzelfs nu bestaande soorten zoals StrelaStealer evolueren met verbeterde verduisterings- en anti-analysetechnieken.
Het volgt ook op de opkomst van een malspamcampagne gericht op Indonesië, waarbij bankgerelateerde lokmiddelen worden gebruikt om de Agent Tesla-malware te verspreiden om gevoelige informatie zoals inloggegevens, financiële gegevens en persoonlijke documenten te plunderen.
De phishing-campagnes van Agent Tesla die in november 2023 werden waargenomen, hebben volgens Check Point ook hun zinnen gezet op Australië en de VS, die de operaties toeschreef aan twee dreigingsactoren van Afrikaanse oorsprong, gevolgd als Bignosa (ook bekend als Nosakhare Godson en Andrei Ivan) en Gods (ook bekend als GODINHO of Kmarshal of Kingsley Fredrick), van wie de laatste werkt als webdesigner.
“De hoofdrolspeler [Bignosa] lijkt deel uit te maken van een groep die malware- en phishing-campagnes voert, gericht op organisaties, zoals blijkt uit de Amerikaanse en Australische e-mailbedrijfsdatabases, maar ook op individuen”, aldus het Israëlische cyberbeveiligingsbedrijf.
De Agent Tesla-malware die via deze aanvalsketens wordt verspreid, blijkt te zijn beveiligd door de Cassandra Protector, die softwareprogramma's helpt beschermen tegen reverse-engineering of wijzigingsinspanningen. De berichten worden verzonden via een open-source webmailtool genaamd RoundCube.
“Zoals blijkt uit de beschrijving van de acties van deze bedreigingsactoren, is er geen rocket science-diploma vereist om de cybercriminaliteitsoperaties achter een van de meest voorkomende malwarefamilies van de afgelopen jaren uit te voeren”, aldus Check Point.
“Het is een ongelukkige gang van zaken die wordt veroorzaakt door de lage instapdrempel, zodat iedereen die bereid is slachtoffers te provoceren om de malware via spamcampagnes te lanceren, dat kan doen.”
