Rhadamanthys Stealer fügt in Version 0.7.0 innovative KI-Funktion hinzu
Zusammenfassung
Rhadamanthys, ein fortschrittlicher Infostealer, der erstmals im Jahr 2022 identifiziert wurde, wurde schnell aktualisiert. Mit der Version 0.7.0 wurden KI-gesteuerte Funktionen zum Extrahieren von Cryptocurrency-Seed-Phrasen aus Bildern eingeführt. Diese Malware hat es auf Anmeldeinformationen, Systeminformationen und Finanzdaten abgesehen und nutzt ausgeklügelte Umgehungstechniken wie die Verschleierung von MSI-Installationsprogrammen. Die Malware wird weiterhin in Untergrundforen verkauft, obwohl sie für bestimmte Regionen verboten ist. Zu den Abwehrstrategien gehören Mutex-basierte Kill Switches und verschiedene Erkennungstechniken wie Snort und Sigma-Regeln.
Rhadamanthys Stealer fügt in Version 0.7.0 innovative KI-Funktion hinzu
Rhadamanthys, ein hochentwickelter Infostealer, der erstmals im Jahr 2022 identifiziert wurde, hat sich rasch zu einem der beeindruckendsten Tools im Ökosystem der Cyberkriminellen entwickelt. Trotz des Verbots in Untergrundforen, weil sie auf Einrichtungen in Russland und der ehemaligen Sowjetunion abzielt, ist diese Malware weiterhin aktiv und gefährlich und wird zu Preisen ab 250 USD für eine 30-Tage-Lizenz verkauft.
Die neueste Analyse von Rhadamanthys Stealer v0.7.0 durch die Insikt Group hebt die neuen und fortschrittlichen Funktionen hervor, einschließlich des Einsatzes von künstlicher Intelligenz (KI) für die optische Zeichenerkennung (OCR). Dies ermöglicht es Rhadamanthys, Seed-Phrasen von Kryptowährungs-Wallets aus Bildern zu extrahieren, was es zu einer hochwirksamen Bedrohung für jeden macht, der mit Kryptowährungen handelt. Die Malware kann Seed-Phrase-Bilder auf der Client-Seite erkennen und sie zur weiteren Ausnutzung an den Command-and-Control-Server (C2) zurücksenden.
Außerdem hat die Malware eine Technik zur Umgehung der Verteidigung eingeführt, bei der Microsoft Software Installer (MSI)-Dateien verwendet werden, die von herkömmlichen Erkennungssystemen oft als vertrauenswürdig eingestuft werden. Mit dieser Methode können Angreifer bösartige Nutzdaten ausführen, ohne dass die Sicherheitsprotokolle sofort Alarm schlagen.
Hauptmerkmale und Funktionen:
1. Diebstahl von Berechtigungsnachweisen und Daten: Rhadamanthys zielt auf ein breites Spektrum vertraulicher Informationen ab, darunter Anmeldedaten von Browsern, Systeminformationen, Cookies, Kryptowährungs-Wallets und Anwendungsdaten. Es ist äußerst anpassungsfähig und unterstützt eine Vielzahl von Erweiterungen und ermöglicht so zusätzliche bösartige Aktivitäten auf kompromittierten Systemen.
2. KI-gestützte Bilderkennung: Das herausragende Merkmal der Version 0.7.0 ist die Integration der OCR-Technologie. Diese Innovation ermöglicht es Rhadamanthys, automatisch Seed-Phrasen für Kryptowährungen aus Bildern zu extrahieren. Damit ist Rhadamanthys einer der ersten Diebe, der KI auf diese Weise einsetzt. Die Malware erkennt Bilder, die Seed-Phrasen enthalten, auf dem infizierten Rechner und exfiltriert sie zur weiteren Verarbeitung an den C2-Server.
3. Umgehung durch MSI-Installer: Um sich der Entdeckung zu entziehen, ermöglicht Rhadamanthys es Angreifern nun, Malware über MSI-Pakete zu installieren, die normalerweise mit legitimen Software-Installationen verbunden sind. Mit dieser Methode können Angreifer viele herkömmliche Erkennungssysteme umgehen, die MSI-Dateien nicht als bösartig einstufen.
Die wachsende Bedrohung
Rhadamanthys erfreut sich aufgrund seiner Benutzerfreundlichkeit und ständigen Updates immer größerer Beliebtheit. Die Schadsoftware wird offen in Darknet-Foren wie Exploit und XSS verkauft und zielt aktiv auf Regionen in Nord- und Südamerika ab, wobei der Fokus besonders auf Kryptowährungs-Wallets und Anmeldedaten von Benutzern liegt.
Der Entwickler der Malware, der unter dem Pseudonym „kingcrete2022“ bekannt ist, wurde in einigen Untergrundforen gesperrt, weil er angeblich auf russische Einrichtungen abzielte. Dies hat sie jedoch nicht von ihren Aktivitäten abgehalten, da sie weiterhin über private Nachrichtenplattformen wie TOX und Telegram für Rhadamanthys werben.
Minderungsstrategien
Die Insikt Group hat mehrere Erkennungsstrategien und sogar einen „Kill Switch“ entwickelt, um die Ausführung von Rhadamanthys auf einem System zu verhindern.
1. Mutex-basierter Kill Switch: Durch das Setzen bekannter Rhadamanthys-Mutexe auf einem nicht infizierten Rechner können Unternehmen einen Kill Switch erstellen, der verhindert, dass die Malware ihre Stealer und Erweiterungen ausführt. Dies ist ein proaktiver Weg, Systeme gegen aktuelle Rhadamanthys-Infektionen zu impfen.
2. Erweiterte Erkennungsregeln: Die Insikt Group hat Sigma-, Snort- und YARA-Erkennungsregeln entwickelt, um die Aktivität von Rhadamanthys zu identifizieren. Diese Regeln zielen unter anderem auf die Ausführung von MSI-Dateien und die Verzögerung der erneuten Ausführung der Malware ab, um Sicherheitsteams eine Chance gegen diese sich entwickelnde Bedrohung zu geben.
3. Endpunkt-Schutz: Der Einsatz von EDR-Lösungen (Endpoint Detection and Response) und die Implementierung des Prinzips des Zugriffs mit geringsten Rechten auf allen Systemen sind für den Schutz vor Rhadamanthys von entscheidender Bedeutung. Eine Multi-Faktor-Authentifizierung (MFA) für den Zugang zu sensiblen Systemen kann dazu beitragen, die Auswirkungen gestohlener Anmeldedaten zu verringern.
Ausblick
Rhadamanthys entwickelt sich weiterhin in rasantem Tempo, und die nächste Version (0.8.0) befindet sich bereits in der Entwicklung. Die Einführung von KI-Funktionen, wie der Extraktion von Seed Phrases, gibt einen Einblick in die Zukunft von Infostealern, die maschinelles Lernen nutzen, um ihre Effektivität zu steigern. Während die aktuellen Strategien zur Schadensbegrenzung gegen Rhadamanthys v0.7.0 wirksam sind, werden zukünftige Versionen wahrscheinlich noch fortschrittlichere Funktionen beinhalten, sodass kontinuierliche Aktualisierungen der Erkennungstechniken erforderlich sind.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt