Kampanye phishing yang sedang berlangsung menggunakan tema terkait pelanggaran hak cipta untuk mengelabui korban agar mengunduh versi terbaru dari pencuri informasi Rhadamanthys sejak Juli 2024.
Perusahaan keamanan siber Check Point sedang melacak kampanye berskala besar dengan nama tersebut CopyRh(kanan)adamantys. Wilayah yang menjadi sasaran meliputi Amerika Serikat, Eropa, Asia Timur, dan Amerika Selatan.
“Kampanye ini meniru lusinan perusahaan, sementara setiap email dikirim ke entitas target tertentu dari akun Gmail berbeda, mengadaptasi perusahaan yang ditiru dan bahasa per entitas target,” kata perusahaan itu dalam analisis teknis. “Hampir 70% perusahaan yang ditiru berasal dari sektor Hiburan/Media dan Teknologi/Perangkat Lunak.”
Serangan tersebut terkenal karena penerapan pencuri Rhadamanthys versi 0.7, yang, sebagaimana dirinci oleh Grup Insikt Recorded Future awal bulan lalu, menggabungkan kecerdasan buatan (AI) untuk pengenalan karakter optik (OCR).
Perusahaan Israel mengatakan aktivitas tersebut tumpang tindih dengan kampanye yang diungkapkan Cisco Talos pekan lalu yang menargetkan pengguna akun bisnis dan periklanan Facebook di Taiwan untuk mengirimkan malware pencuri Lumma atau Rhadamanthys.
Rantai serangan ini ditandai dengan penggunaan taktik spear-phishing yang mengharuskan pengiriman pesan email yang mengklaim dugaan pelanggaran hak cipta dengan menyamar sebagai perusahaan terkenal.
Email ini dikirim dari akun Gmail dan mengaku berasal dari perwakilan hukum perusahaan yang meniru identitas tersebut. Isi pesan tersebut menuduh penerima menyalahgunakan merek mereka di platform media sosial dan meminta mereka untuk menghapus gambar dan video terkait.
“Instruksi penghapusan dikatakan ada dalam file yang dilindungi kata sandi. Namun, file yang dilampirkan adalah tautan unduhan ke appspot.com, ditautkan ke akun Gmail, yang mengarahkan pengguna ke Dropbox atau Discord untuk mengunduh arsip yang dilindungi kata sandi (dengan kata sandi yang diberikan dalam email),” kata Check Point.
Arsip RAR berisi tiga komponen, eksekusi sah yang rentan terhadap pemuatan samping DLL, DLL berbahaya yang berisi muatan pencuri, dan dokumen umpan. Setelah biner dijalankan, ia melakukan sideload file DLL, yang kemudian membuka jalan bagi penerapan Rhadamanthys.
Check Point, yang mengaitkan kampanye tersebut dengan kemungkinan kelompok kejahatan dunia maya, mengatakan bahwa ada kemungkinan pelaku ancaman telah menggunakan alat AI mengingat skala kampanye dan beragamnya umpan dan pengirim email.
“Kampanye yang menargetkan organisasi-organisasi di berbagai wilayah secara luas dan tidak pandang bulu menunjukkan bahwa kampanye ini diatur oleh kelompok kejahatan dunia maya yang bermotivasi finansial, bukan aktor negara,” katanya. “Jangkauan global, taktik phishing otomatis, dan beragam daya tariknya menunjukkan bagaimana penyerang terus berevolusi untuk meningkatkan tingkat keberhasilan mereka.”
Malware SteelFox Baru Mengeksploitasi Driver yang Rentan
Temuan ini muncul ketika Kaspersky menjelaskan “bundel perangkat kejahatan berfitur lengkap” baru yang dijuluki SteelFox yang disebarkan melalui postingan forum, pelacak torrent, dan blog, yang dianggap sebagai utilitas sah seperti Foxit PDF Editor, JetBrains, dan AutoCAD.
Kampanye ini, yang dimulai pada bulan Februari 2023, telah memakan korban di seluruh dunia, khususnya di Brasil, Tiongkok, Rusia, Meksiko, UEA, Mesir, Aljazair, Vietnam, India, dan Sri Lanka. Hal ini belum dikaitkan dengan aktor atau kelompok ancaman mana pun yang diketahui.
“Ancaman ini disampaikan melalui rantai eksekusi yang canggih termasuk shellcoding, dan menyalahgunakan layanan dan driver Windows,” kata peneliti keamanan Kirill Korchemny. “Ia juga menggunakan malware pencuri untuk mengekstrak data kartu kredit korban serta rincian tentang perangkat yang terinfeksi.”
Titik awalnya adalah aplikasi penetes yang meniru versi retak dari perangkat lunak populer, yang ketika dijalankan, meminta akses administrator dan menjatuhkan pemuat tahap berikutnya yang, pada gilirannya, membangun persistensi dan meluncurkan SteelFox DLL.
Akses admin kemudian disalahgunakan untuk membuat layanan yang menjalankan versi lama WinRing0.sys, pustaka akses perangkat keras untuk Windows yang rentan terhadap CVE-2020-14979 dan CVE-2021-41285, sehingga memungkinkan pelaku ancaman mendapatkan NT\ Hak istimewa SISTEM.
“Driver ini juga merupakan komponen dari XMRig miner sehingga dimanfaatkan untuk keperluan penambangan,” kata Korchemny. “Setelah menginisialisasi driver, sampel meluncurkan penambang. Ini mewakili executable XMRig yang dimodifikasi dengan pengisi kode sampah. Ini terhubung ke kumpulan penambangan dengan kredensial hardcoded.”
Penambang, pada bagiannya, diunduh dari repositori GitHub, dan malware juga memulai kontak dengan server jarak jauh melalui TLS versi 1.3 untuk mengekstrak data sensitif dari browser web, seperti cookie, data kartu kredit, riwayat penelusuran, dan tempat yang dikunjungi. , metadata sistem, perangkat lunak yang diinstal, dan zona waktu, antara lain.
“Penggunaan C++ modern yang sangat canggih dikombinasikan dengan perpustakaan eksternal memberikan malware ini kekuatan yang luar biasa,” kata Kaspersky. “Penggunaan TLSv1.3 dan penyematan SSL memastikan komunikasi yang aman dan pengambilan data sensitif.”