resumen
Rhadamanthys, un ladrón de información avanzado identificado por primera vez en 2022, ha experimentado rápidas actualizaciones, y la versión 0.7.0 introduce capacidades impulsadas por IA para extraer frases iniciales de criptomonedas a partir de imágenes. El malware utiliza técnicas de evasión avanzadas, como hacerse pasar por instaladores de MSI, para atacar credenciales, información del sistema y datos financieros. A pesar de la prohibición de apuntar a regiones específicas, el malware continúa vendiéndose en foros clandestinos. Las estrategias de mitigación incluyen interruptores de apagado basados en mutex y varias técnicas de detección, como las reglas Snort y Sigma.
Rhadamanthys Stealer v0.7.0: Incluso los semidioses pueden morir.
Rhadamanthys es un sofisticado ladrón de información identificado por primera vez en 2022 que rápidamente ha evolucionado hasta convertirse en una de las herramientas más formidables del mundo cibercriminal. A pesar de estar prohibido en foros clandestinos dirigidos a organizaciones dentro de Rusia y la ex Unión Soviética, el malware sigue activo y peligroso, y se vende a precios que comienzan en 250 dólares por una licencia de 30 días.
El último análisis de Insikt Group de Rhadamanthys Stealer v0.7.0 destaca sus nuevas funciones avanzadas, incluido el uso de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR). Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que las convierte en una amenaza muy poderosa para cualquiera que trabaje con criptomonedas. El malware puede reconocer la imagen de la frase inicial en el lado del cliente y enviarla de regreso al servidor de comando y control (C2) para realizar más ataques.
Además, el malware introduce técnicas de evasión de defensa utilizando archivos Microsoft Software Installer (MSI), que los sistemas de detección tradicionales consideran confiables. Este método permite a un atacante ejecutar una carga útil maliciosa sin generar inmediatamente señales de alerta en los protocolos de seguridad.
Principales características y funciones:
1. Robo de credenciales y datos: Rhadamanthys apunta a una amplia gama de información confidencial, incluidas credenciales de navegadores, información del sistema, cookies, billeteras de criptomonedas y datos de aplicaciones. Es altamente adaptable y admite varias extensiones para actividades maliciosas adicionales en sistemas comprometidos.
2. Reconocimiento de imágenes basado en IA: una característica destacada de la versión 0.7.0 es la integración de la tecnología OCR. Esta innovación permite a Rhadamanthys extraer automáticamente frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que lo convierte en uno de los primeros ladrones en utilizar la IA de esta manera. El malware detecta una imagen que contiene una frase inicial en una máquina infectada y la extrae a un servidor C2 para su posterior procesamiento.
3. Evasión del instalador MSI: para evadir la detección, Rhadamanthys ahora permite a los atacantes implementar malware utilizando paquetes MSI que normalmente están asociados con instalaciones de software legítimas. Este método permite a un atacante eludir muchos sistemas de detección tradicionales que no marcan los archivos MSI como maliciosos.
amenaza creciente
Rhadamanthys se está volviendo cada vez más popular debido a su facilidad de uso y actualizaciones periódicas. El malware, que se vende abiertamente en foros de la web oscura como Exploit y XSS, se dirige activamente a regiones de América del Norte y del Sur, con especial atención a las carteras de criptomonedas y las credenciales de los usuarios.
El desarrollador del malware, también conocido como “kingcrete2022”, se enfrenta a prohibiciones en algunos foros clandestinos por supuestamente apuntar a organizaciones rusas. Sin embargo, esto no los ha disuadido y continúan promocionando a Rhadamanthys a través de plataformas de mensajería privada como TOX y Telegram.
estrategia de mitigación
Insikt Group ha desarrollado varias estrategias de detección e incluso un “interruptor de apagado” para evitar que Rhadamanthys se ejecute en su sistema.
1. Desconexión automática basada en mutex: al establecer una exclusión mutua de Rhadamanthys conocida en máquinas no infectadas, las organizaciones pueden crear un interruptor de interrupción que evite que el malware ejecute ladrones o extensiones. Este es un método proactivo para vacunar el sistema contra las infecciones actuales por Rhadamantis.
2. Reglas de detección avanzadas: Insikt Group ha desarrollado reglas de detección Sigma, Snort y YARA para identificar la actividad de Rhadamanthys. Estas reglas apuntan a la ejecución de archivos MSI del malware y a las capacidades de retardo de repetición para brindar a los equipos de seguridad la oportunidad de combatir esta amenaza en evolución.
3. Protección de endpoints: al proteger contra Rhadamanthys, es importante implementar una solución de detección y respuesta de endpoints (EDR) e implementar acceso con privilegios mínimos en todo el sistema. Garantizar la autenticación multifactor (MFA) para el acceso a sistemas confidenciales puede reducir el impacto del robo de credenciales.
perspectiva
Rhadamanthys continúa evolucionando a un ritmo rápido y la próxima versión (0.8.0) ya está en desarrollo. La introducción de capacidades de IA, como la extracción de frases iniciales, ofrece una visión de un futuro en el que los ladrones de información aprovecharán el aprendizaje automático para aumentar su eficacia. Aunque las estrategias de mitigación actuales son efectivas contra Rhadamanthys v0.7.0, las versiones futuras pueden incluir funciones más avanzadas y requerir actualizaciones continuas de las técnicas de detección.
Para leer el análisis completo, haga clic aquí para descargar el informe en formato PDF.
https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version
