Эволюция Rhadamanthys: Новые функции и угрозы криптовалютам – Пульс новости ‘8’

Использование искусственного интеллекта для извлечения паролей криптокошелька

Информационный стилер Rhadamanthys расширил свои возможности, используя искусственный интеллект (ИИ) для оптического распознавания символов (OCR). Эта функция, известная как “Распознавание графического ключа”, позволяет Rhadamanthys извлекать фразы-пароли от криптовалютных кошельков из изображений.

Актуальность для владельцев криптовалют

По данным группы Insikt из Recorded Future, рассматриваемый стилер является серьезной угрозой для тех, кто работает с криптовалютами. Он может распознавать графические пароли на компьютере пользователя и отправлять их на сервер управления и контроля (C2) для последующего анализа.

Распространение и маркетинг

Первоначально обнаруженный в сентябре 2022 года, Rhadamanthys стал одним из самых мощных информационных стилеров, распространяемых по модели вредоносных программ как услуги (MaaS). Он продолжает оставаться активным, несмотря на запреты на подпольных форумах, таких как Exploit и XSS. Разработчик под ником “kingcrete” (также известный как “kingcrete2022”) находит способы продвигать новые версии на Telegram, Jabber и TOX.

Стоимость и возможности

Компания кибербезопасности, которая должна быть приобретена Mastercard за 2,65 миллиарда долларов, сообщила, что стилер продается по подписке за 250 долларов в месяц (или 550 долларов за 90 дней), что позволяет его клиентам собирать широкий спектр конфиденциальной информации с зараженных компьютеров.

Усовершенствования и атакующая цепочка заражения

Версия 0.7.0, последняя версия Rhadamanthys, выпущенная в июне 2024 года, значительно превосходит своего предшественника 0.6.0, который вышел в феврале 2024 года. Она включает в себя “полную переработку как клиентских, так и серверных фреймворков, улучшающую стабильность выполнения программы”, – отметили в Recorded Future. “Кроме того, были добавлены 30 алгоритмов взлома кошельков, оснащенных ИИ графики и распознавания PDF для извлечения фраз. Возможность извлечения текста была улучшена для распознавания нескольких сохраненных фраз”.

Функциональность и цели киберзлоумышленников

Также включена функция, позволяющая злоумышленникам запускать и устанавливать файлы установщика программного обеспечения Microsoft (MSI) в явной попытке избежать обнаружения решениями безопасности, установленными на компьютере. Кроме того, имеется настройка для предотвращения повторного запуска в течение настраиваемого промежутка времени.

Уникальность плагина и популярность

Примечательной особенностью Rhadamanthys является его система плагинов, которая может расширять его возможности за счет функций кейлоггера, отсекателя криптовалют и обратного прокси-сервера. “Rhadamanthys – популярный выбор для киберпреступников”, – сказал представитель Recorded Future. “В сочетании с его быстрой разработкой и инновационными новыми функциями он является серьезной угрозой, о которой все организации должны знать”.

Другие вредоносные программы, нацеленные на криптовалюты

Обнаружено, что Rhadamanthys и Lumma, наряду с другими семействами программ-стилеров, такими как Meduza, StealC, Vidar и WhiteSnake, в последние недели выпускали обновления для сбора файлов cookie из веб-браузера Chrome, эффективно обходя недавно введенные механизмы безопасности, такие как привязка к приложению шифрование.

Постоянная эволюция вредоносных программ

Кроме того, разработчики WhiteSnake Stealer добавили возможность извлекать CVC-коды с кредитных карт, хранящихся в Chrome, что подчеркивает постоянно меняющийся характер ландшафта вредоносных программ.

Кампании распространения

Исследователи обнаружили кампанию вредоносного ПО Amadey, которая использует скрипт AutoIt, который затем запускает браузер жертвы в режиме киоска, чтобы заставить ее ввести данные своей учетной записи Google. Информация для входа хранится в хранилище учетных данных браузера на диске для последующего сбора такими стиллерами, как StealC.

Методы обхода безопасности и человеческий фактор

Эти продолжающиеся обновления также последовали за обнаружением новых кампаний загрузки с диска, которые доставляют информационные стиллеры, обманывая пользователей, заставляя их вручную копировать и запускать код PowerShell, чтобы доказать, что они являются людьми, с помощью обманчивой страницы проверки CAPTCHA.

Нацеливание на технически подкованных пользователей

“Марко Поло в первую очередь нацелен на геймеров, влиятельных лиц в сфере криптовалют и разработчиков программного обеспечения через фишинговые атаки в социальных сетях, подчеркивая его внимание на технически подкованных жертвах”, – сказал представитель Recorded Future, добавив, что “вероятно, десятки тысяч устройств подверглись взлому по всему миру”.

Правовая информация

Права на данный текст принадлежат BITboosters.ru.