resumen
Rhadamanthys, un malware avanzado de robo de información identificado por primera vez en 2022, se actualizó rápidamente y la versión 0.7.0 introduce capacidades impulsadas por inteligencia artificial para extraer frases iniciales de criptomonedas a partir de imágenes. El malware utiliza técnicas de evasión avanzadas, como hacerse pasar por instaladores de MSI, para atacar credenciales, información del sistema y datos financieros. El malware continúa vendiéndose en foros clandestinos a pesar de que se le ha prohibido apuntar a regiones específicas. Las estrategias de mitigación incluyen interruptores de apagado basados en mutex y varias técnicas de detección, como las reglas Snort y Sigma.
Rhadamanthys Stealer v0.7.0: Los semidioses también mueren
Rhadamanthys, una herramienta avanzada de robo de información identificada por primera vez en 2022, ha evolucionado rápidamente hasta convertirse en una de las herramientas más aterradoras del mundo del ciberdelito. A pesar de haber sido prohibido en foros clandestinos dirigidos a organizaciones dentro de Rusia y la ex Unión Soviética, el malware sigue activo y peligroso, con licencias de 30 días a partir de 250 dólares.
El último análisis de Insikt Group de Rhadamanthys Stealer v0.7.0 destaca nuevas funciones avanzadas, incluido el uso de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR). Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que las convierte en una amenaza muy poderosa para cualquiera que trabaje con criptomonedas. El malware puede reconocer la imagen de la frase inicial en el lado del cliente y enviarla de regreso al servidor de comando y control (C2) para su posterior explotación.
Además, el malware implementa técnicas de evasión de defensa utilizando archivos del instalador de software de Microsoft (MSI), que los sistemas de detección tradicionales suelen considerar confiables. Este método permite a un atacante ejecutar una carga útil maliciosa sin ninguna advertencia inmediata de los protocolos de seguridad.
Funciones y características principales:
1. Robo de credenciales y datos: Rhadamanthys apunta a una amplia gama de información confidencial, incluidas credenciales del navegador, información del sistema, cookies, billeteras de criptomonedas y datos de aplicaciones. Es altamente adaptable y admite varias extensiones para realizar más actividades maliciosas en sistemas comprometidos.
2. Reconocimiento de imágenes basado en IA: la característica destacada de la versión 0.7.0 es la integración de la tecnología OCR. Esta innovación permite a Rhadamanthys extraer automáticamente frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que lo convierte en uno de los primeros ladrones en utilizar la IA de esta manera. El malware detecta imágenes que contienen frases iniciales en máquinas infectadas y las filtra a un servidor C2 para su posterior procesamiento.
3. Evasión a través de instaladores MSI: para evitar la detección, Rhadamanthys permite a los atacantes implementar malware utilizando paquetes MSI que normalmente están asociados con instalaciones de software legítimas. Con este método, los atacantes pueden eludir muchos sistemas de detección tradicionales que no marcan los archivos MSI como maliciosos.
amenaza creciente
Rhadamanthys se está volviendo cada vez más popular debido a su facilidad de uso y actualizaciones continuas. El malware, que se vende abiertamente en foros de la web oscura como Exploit y XSS, se dirige activamente a la región de América, con especial atención a las carteras de criptomonedas y las credenciales de usuario.
El desarrollador del malware, también conocido como “kingcrete2022”, ha sido excluido de varios foros clandestinos por supuestamente apuntar a organizaciones rusas. Sin embargo, eso no los ha detenido y continúan promocionando a Rhadamanthys a través de plataformas de mensajería privada como TOX y Telegram.
estrategia de mitigación
Insikt Group ha desarrollado varias estrategias de detección e incluso un “interruptor de apagado” para evitar que Rhadamanthys se ejecute en su sistema.
1. Desconexión automática basada en mutex: al establecer una exclusión mutua de Rhadamanthys conocida en máquinas no infectadas, las organizaciones pueden crear un interruptor de interrupción que evite que el malware ejecute ladrones o extensiones. Este es un método proactivo para proteger su sistema contra infecciones actuales por Rhadamanthys.
2. Reglas de detección avanzadas: Insikt Group ha desarrollado reglas de detección Sigma, Snort y YARA para identificar la actividad de Rhadamanthys. Estas reglas se dirigen a aspectos como la ejecución de archivos MSI del malware y las capacidades de retraso de reejecución, lo que brinda a los equipos de seguridad una mejor oportunidad de combatir esta amenaza en evolución.
3. Protección de endpoints: para protegerse contra Rhadamanthys, es importante contar con una solución de detección y respuesta de endpoints (EDR) e implementar acceso con privilegios mínimos en todos sus sistemas. Garantizar que se aplique la autenticación multifactor (MFA) para acceder a sistemas sensibles puede reducir el impacto de las credenciales robadas.
perspectiva
Rhadamanthys continúa evolucionando rápidamente y la próxima versión (0.8.0) ya está en desarrollo. La introducción de capacidades de IA, como la extracción de frases iniciales, ofrece una visión del futuro del robo de información que aprovecha el aprendizaje automático para aumentar su eficacia. Si bien la estrategia de mitigación actual es válida para Rhadamanthys v0.7.0, es probable que las versiones futuras incluyan funciones más avanzadas y requieran actualizaciones continuas de la tecnología de detección.
Para leer el análisis completo, haga clic aquí para descargar el informe en formato PDF.
https://www.recordedfuture.com/research/rhadamanthys-stealer-even-demigods-can-die
