Een voortdurende phishing-campagne maakt gebruik van thema’s die verband houden met inbreuk op het auteursrecht om slachtoffers te misleiden zodat ze sinds juli 2024 een nieuwere versie van de Rhadamanthys-informatiedief downloaden.
Cybersecuritybedrijf Check Point volgt de grootschalige campagne onder de naam KopieerRh(ight)adamantys. Gerichte regio’s zijn onder meer de Verenigde Staten, Europa, Oost-Azië en Zuid-Amerika.
“De campagne imiteert tientallen bedrijven, terwijl elke e-mail vanuit een ander Gmail-account naar een specifieke beoogde entiteit wordt verzonden, waarbij het nagebootste bedrijf en de taal per beoogde entiteit worden aangepast”, aldus het bedrijf in een technische analyse. “Bijna 70% van de nagebootste bedrijven komt uit de sectoren entertainment/media en technologie/software.”
De aanvallen zijn opmerkelijk vanwege de inzet van versie 0.7 van de Rhadamanthys-stealer, die, zoals begin vorige maand beschreven door Recorded Future’s Insikt Group, kunstmatige intelligentie (AI) bevat voor optische karakterherkenning (OCR).
Het Israëlische bedrijf zei dat de activiteit overlapt met een campagne die Cisco Talos vorige week bekendmaakte en zich richtte op gebruikers van Facebook-bedrijven en advertentieaccounts in Taiwan om Lumma- of Rhadamanthys-stealer-malware te leveren.
De aanvalsketens worden gekenmerkt door het gebruik van spearphishing-tactieken, waarbij e-mailberichten worden verzonden waarin vermeende schendingen van het auteursrecht worden beweerd door zich voor te doen als bekende bedrijven.
Deze e-mails worden verzonden vanaf Gmail-accounts en beweren afkomstig te zijn van wettelijke vertegenwoordigers van de nagebootste bedrijven. In de inhoud van het bericht worden de ontvangers beschuldigd van misbruik van hun merk op sociale mediaplatforms en wordt hen verzocht de betreffende afbeeldingen en video’s te verwijderen.
“De verwijderingsinstructies zouden zich in een met een wachtwoord beveiligd bestand bevinden. Het bijgevoegde bestand is echter een downloadlink naar appspot.com, gekoppeld aan het Gmail-account, die de gebruiker doorverwijst naar Dropbox of Discord om een met een wachtwoord beveiligd archief te downloaden (met het wachtwoord uit de e-mail)”, aldus Check Point.
Het RAR-archief bevat drie componenten: een legitiem uitvoerbaar bestand dat kwetsbaar is voor side-loading van DLL, de kwaadaardige DLL die de stealer-payload bevat, en een lokdocument. Zodra het binaire bestand is uitgevoerd, wordt het DLL-bestand sideload, wat vervolgens de weg vrijmaakt voor de implementatie van Rhadamanthys.
Check Point, dat de campagne toeschreef aan een waarschijnlijke cybercriminaliteitsgroep, zei dat het mogelijk is dat de bedreigingsactoren AI-tools hebben gebruikt, gezien de omvang van de campagne en de verscheidenheid aan lokmiddelen en afzender-e-mails.
“De wijdverbreide en willekeurige targeting van de campagne op organisaties in meerdere regio’s suggereert dat deze werd georkestreerd door een financieel gemotiveerde cybercriminaliteitsgroep in plaats van door een natiestatelijke actor”, aldus het rapport. “Het wereldwijde bereik, de geautomatiseerde phishing-tactieken en de diverse lokmiddelen laten zien hoe aanvallers voortdurend evolueren om hun succespercentages te verbeteren.”
Nieuwe SteelFox-malware maakt misbruik van kwetsbaar stuurprogramma
De bevindingen komen op het moment dat Kaspersky licht werpt op een nieuwe ‘volledig uitgeruste crimeware-bundel’ genaamd SteelFox, die wordt verspreid via forumposts, torrent-trackers en blogs en zich voordoet als legitieme hulpprogramma’s zoals Foxit PDF Editor, JetBrains en AutoCAD.
De campagne, die teruggaat tot februari 2023, heeft slachtoffers over de hele wereld geëist, met name in Brazilië, China, Rusland, Mexico, de Verenigde Arabische Emiraten, Egypte, Algerije, Vietnam, India en Sri Lanka. Het is niet toegeschreven aan een bekende bedreigingsacteur of groep.
“Deze dreiging wordt geleverd via geavanceerde uitvoeringsketens, waaronder shellcoding, en maakt misbruik van Windows-services en -stuurprogramma’s”, aldus beveiligingsonderzoeker Kirill Korchemny. “Het maakt ook gebruik van stealer-malware om de creditcardgegevens van het slachtoffer te extraheren, evenals details over het geïnfecteerde apparaat.”
Het startpunt is een dropper-app die gekraakte versies van populaire software imiteert, die, wanneer deze wordt uitgevoerd, om beheerderstoegang vraagt en een next-stage loader dropt die op zijn beurt persistentie tot stand brengt en de SteelFox DLL lanceert.
De beheerderstoegang wordt vervolgens misbruikt om een service te maken die een oudere versie van WinRing0.sys uitvoert, een hardwaretoegangsbibliotheek voor Windows die kwetsbaar is voor CVE-2020-14979 en CVE-2021-41285, waardoor de bedreigingsactor NT kan verkrijgen. SYSTEEM-rechten.
“Deze driver is ook een onderdeel van de XMRig-mijnwerker en wordt dus gebruikt voor mijnbouwdoeleinden”, merkte Korchemny op. “Nadat het stuurprogramma is geïnitialiseerd, start het voorbeeld de mijnwerker. Dit vertegenwoordigt een aangepast uitvoerbaar bestand van XMRig met junkcode-vullers. Het maakt verbinding met een mijnbouwpool met hardgecodeerde inloggegevens.”
De mijnwerker wordt op zijn beurt gedownload vanuit een GitHub-repository, waarbij de malware ook contact initieert met een externe server via TLS versie 1.3 om gevoelige gegevens uit webbrowsers te exfiltreren, zoals cookies, creditcardgegevens, browsegeschiedenis en bezochte plaatsen , systeemmetagegevens, geïnstalleerde software en tijdzone, onder andere.
“Het zeer geavanceerde gebruik van moderne C++ in combinatie met externe bibliotheken geeft deze malware een formidabele kracht”, aldus Kaspersky. “Het gebruik van TLSv1.3 en SSL-pinning zorgt voor veilige communicatie en het verzamelen van gevoelige gegevens.”