Pelaku ancaman di balik pencuri informasi Rhadamanthys telah menambahkan fitur-fitur canggih baru ke malware tersebut, termasuk penggunaan kecerdasan buatan (AI) untuk pengenalan karakter optik (OCR) sebagai bagian dari apa yang disebut “Pengenalan Gambar Frasa Benih”.
“Hal ini memungkinkan Rhadamanthys mengekstrak frase awal dompet mata uang kripto dari gambar, menjadikannya ancaman yang sangat kuat bagi siapa pun yang berurusan dengan mata uang kripto,” kata Insikt Group dari Recorded Future dalam analisis malware versi 0.7.0.
“Malware dapat mengenali gambar frase awal di sisi klien dan mengirimkannya kembali ke server perintah-dan-kontrol (C2) untuk eksploitasi lebih lanjut.”
Pertama kali ditemukan di alam liar pada bulan September 2022, Rhadamanthys telah muncul sebagai salah satu pencuri informasi paling ampuh yang diiklankan dengan model malware-as-a-service (MaaS), bersama Lumma dan lainnya.
Malware ini terus hadir secara aktif meskipun ada larangan dari forum bawah tanah seperti Exploit dan XSS karena menargetkan entitas di Rusia dan bekas Uni Soviet, dengan pengembangnya, yang menggunakan nama “kingcrete” (alias “kingcrete2022”), menemukan cara untuk memasarkan versi baru di Telegram, Jabber, dan TOX.
Perusahaan keamanan siber, yang akan diakuisisi oleh Mastercard senilai $2,65 miliar, mengatakan bahwa pencuri tersebut dijual dengan harga berlangganan $250 per bulan (atau $550 selama 90 hari), sehingga memungkinkan pelanggannya mengambil berbagai informasi sensitif dari orang yang disusupi. tuan rumah.
Hal ini mencakup informasi sistem, kredensial, dompet mata uang kripto, kata sandi browser, cookie, dan data yang disimpan di berbagai aplikasi, sekaligus mengambil langkah-langkah untuk mempersulit upaya analisis dalam lingkungan sandbox.
Versi 0.7.0, versi terbaru Rhadamanthys yang dirilis pada Juni 2024, mengalami peningkatan signifikan dibandingkan pendahulunya 0.6.0, yang dirilis pada Februari 2024.
Ini terdiri dari “penulisan ulang lengkap kerangka sisi klien dan sisi server, meningkatkan stabilitas eksekusi program,” kata Recorded Future. “Selain itu, 30 algoritme peretas dompet, grafik bertenaga AI, dan pengenalan PDF untuk ekstraksi frasa telah ditambahkan. Kemampuan ekstraksi teks ditingkatkan untuk mengidentifikasi beberapa frasa yang disimpan.”
Juga disertakan fitur yang memungkinkan pelaku ancaman menjalankan dan menginstal file Penginstal Perangkat Lunak Microsoft (MSI) dalam upaya nyata untuk menghindari deteksi oleh solusi keamanan yang diinstal pada host. Lebih lanjut berisi pengaturan untuk mencegah eksekusi ulang dalam jangka waktu yang dapat dikonfigurasi.
Rantai infeksi tingkat tinggi Rhadamanthys |
Aspek penting dari Rhadamanthys adalah sistem pluginnya yang dapat meningkatkan kemampuannya dengan keylogger, clipper cryptocurrency, dan fungsi reverse proxy.
“Rhadamanthys adalah pilihan populer bagi penjahat dunia maya,” kata Recorded Future. “Ditambah dengan perkembangannya yang pesat dan fitur-fitur baru yang inovatif, hal ini merupakan ancaman besar yang harus diwaspadai oleh semua organisasi.”
Perkembangan ini terjadi ketika Mandiant milik Google merinci penggunaan tipuan aliran kontrol yang disesuaikan oleh Lumma Stealer untuk memanipulasi eksekusi malware.
“Teknik ini menggagalkan semua alat analisis biner termasuk IDA Pro dan Ghidra, sehingga secara signifikan menghambat tidak hanya proses rekayasa balik, namun juga alat otomatisasi yang dirancang untuk menangkap artefak eksekusi dan menghasilkan deteksi,” kata peneliti Nino Isakovic dan Chuong Dong.
Rhadamanthys dan Lumma, bersama keluarga malware pencuri lainnya seperti Meduza, StealC, Vidar, dan WhiteSnake, juga ditemukan merilis pembaruan dalam beberapa minggu terakhir untuk mengumpulkan cookie dari browser web Chrome, yang secara efektif melewati mekanisme keamanan yang baru diperkenalkan seperti enkripsi yang terikat pada aplikasi.
Selain itu, pengembang di balik WhiteSnake Stealer telah menambahkan kemampuan untuk mengekstrak kode CVC dari kartu kredit yang disimpan di Chrome, menyoroti sifat lanskap malware yang terus berkembang.
Bukan itu saja. Para peneliti telah mengidentifikasi kampanye malware Amadey yang menyebarkan skrip AutoIt, yang kemudian meluncurkan browser korban dalam mode kios untuk memaksa mereka memasukkan kredensial akun Google mereka. Informasi login disimpan di penyimpanan kredensial browser pada disk untuk diambil selanjutnya oleh pencuri seperti StealC.
Pembaruan yang sedang berlangsung ini juga mengikuti penemuan kampanye pengunduhan drive-by baru yang memberikan pencuri informasi dengan menipu pengguna agar menyalin dan mengeksekusi kode PowerShell secara manual untuk membuktikan bahwa mereka adalah manusia melalui halaman verifikasi CAPTCHA yang menipu.
Sebagai bagian dari kampanye, pengguna yang mencari layanan streaming video di Google dialihkan ke URL berbahaya yang mendesak mereka untuk menekan tombol Windows + R untuk meluncurkan menu Run, menempelkan perintah PowerShell yang disandikan, dan menjalankannya, menurut CloudSEK, eSentire , Jaringan Palo Alto Unit 42, dan Secureworks.
Serangan tersebut, yang pada akhirnya dilakukan oleh pencuri seperti Lumma, StealC, dan Vidar, adalah varian dari kampanye ClickFix yang didokumentasikan dalam beberapa bulan terakhir oleh ReliaQuest, Proofpoint, McAfee Labs, dan Trellix.
“Vektor serangan baru ini menimbulkan risiko yang signifikan, karena ia menghindari kontrol keamanan browser dengan membuka command prompt,” kata Secureworks. “Korban kemudian diarahkan untuk mengeksekusi kode tidak sah secara langsung pada host mereka.”
Kampanye phishing dan malvertising juga terlihat mendistribusikan Atomic macOS Stealer (AMOS), Rilide, serta varian baru malware pencuri yang disebut Snake Keylogger (alias 404 Keylogger atau KrakenKeylogger).
Selain itu, pencuri informasi seperti Atomic, Rhadamanthys, dan StealC telah menjadi inti dari lebih dari 30 kampanye penipuan yang diatur oleh geng kejahatan dunia maya yang dikenal sebagai Marko Polo untuk melakukan pencurian mata uang kripto di seluruh platform dengan meniru merek sah dalam game online, pertemuan virtual, dan perangkat lunak produktivitas. dan mata uang kripto.
“Marko Polo terutama menargetkan para gamer, influencer cryptocurrency, dan pengembang perangkat lunak melalui spear-phishing di media sosial – menyoroti fokusnya pada korban yang melek teknologi,” kata Recorded Future, menambahkan “kemungkinan puluhan ribu perangkat telah disusupi secara global.”