Rhadamanthys Stealer ajoute une fonctionnalité d'IA innovante dans la version 0.7.0
Summary
Rhadamanthys, un voleur d'informations avancé identifié pour la première fois en 2022, a fait l'objet de mises à jour rapides, la version 0.7.0 introduisant des fonctionnalités pilotées par l'IA pour extraire des phrases de base de cryptomonnaies à partir d'images. Ce malware cible les informations d'identification, les informations système et les données financières en utilisant des techniques d'évasion sophistiquées, comme le déguisement du programme d'installation MSI. Le malware continue d'être vendu sur des forums clandestins malgré les interdictions de cibler des régions spécifiques. Les stratégies d'atténuation comprennent les kill switches basés sur le mutex et diverses techniques de détection, telles que les règles Snort et Sigma.
Rhadamanthys Stealer ajoute une fonctionnalité d'IA innovante dans la version 0.7.0
Rhadamanthys, un voleur d'informations avancé identifié pour la première fois en 2022, est rapidement devenu l'un des outils les plus redoutables du paysage cybercriminel. Malgré l'interdiction d'accéder à des forums clandestins pour avoir ciblé des entités en Russie et en ex-URSS, ce malware reste actif et dangereux, vendu à des prix commençant à 250 dollars pour une licence de 30 jours.
La dernière analyse du groupe Insikt sur Rhadamanthys Stealer v0.7.0 met en lumière ses nouvelles fonctionnalités avancées, notamment l'utilisation de l'intelligence artificielle (IA) pour la reconnaissance optique des caractères (OCR). Cela permet à Rhadamanthys d'extraire des phrases de récupération de portefeuille de cryptomonnaie à partir d'images, ce qui en fait une menace très puissante pour quiconque négocie des cryptomonnaies. Le malware peut reconnaître les images de phrases de récupération côté client et les renvoyer au serveur de commande et de contrôle (C2) pour une exploitation ultérieure.
En outre, le malware a introduit une technique de contournement de la défense utilisant les fichiers Microsoft Software Installer (MSI), qui sont souvent considérés comme fiables par les systèmes de détection classiques. Cette méthode permet aux attaquants d'exécuter des charges utiles malveillantes sans déclencher de signaux d'alarme immédiats dans les protocoles de sécurité.
Principales caractéristiques et capacités :
1. Vol d'informations d'identification et de données : Rhadamanthys cible un large éventail d'informations sensibles, notamment les identifiants des navigateurs, les informations système, les cookies, les portefeuilles de cryptomonnaies et les données des applications. Il est très adaptable et prend en charge une variété d'extensions pour des activités malveillantes supplémentaires sur les systèmes compromis.
2. Reconnaissance d'image basée sur l'IA : la fonctionnalité la plus remarquable de la version 0.7.0 est l'intégration de la technologie OCR. Cette innovation permet à Rhadamanthys d'extraire automatiquement les phrases de récupération du portefeuille de cryptomonnaie à partir d'images, ce qui en fait l'un des premiers voleurs à utiliser l'IA de cette manière. Le malware détecte les images contenant des phrases de récupération sur la machine infectée et les exfiltre vers le serveur C2 en vue d'un traitement ultérieur.
3. Évasion par le biais d'installateurs MSI : pour échapper à la détection, Rhadamanthys permet désormais aux attaquants de déployer des malwares à l'aide de packages MSI, généralement associés à des installations de logiciels légitimes. En tirant parti de cette méthode, les attaquants peuvent contourner de nombreux systèmes de détection conventionnels qui ne signalent pas les fichiers MSI comme étant malveillants.
La menace croissante
Rhadamanthys est de plus en plus populaire en raison de sa facilité d'utilisation et de ses mises à jour constantes. Vendu ouvertement sur des forums du dark web tels que Exploit et XSS, le malware cible activement certaines régions d'Amérique du Nord et du Sud, en particulier les portefeuilles de cryptomonnaies et les identifiants des utilisateurs.
Le développeur du malware, connu sous le pseudonyme de « kingcrete2022 », a été banni de certains forums clandestins pour avoir prétendument ciblé des entités russes. Cela ne les a pas empêchés de poursuivre leurs activités, puisqu'ils continuent à faire de la publicité pour Rhadamanthys via des plateformes de messagerie privée telles que TOX et Telegram.
Mitigation Strategies
Le groupe Insikt a développé plusieurs stratégies de détection et même un kill switch pour empêcher Rhadamanthys de s'exécuter sur un système.
1. Kill Switch basé sur le mutex : en installant des mutex connus de Rhadamanthys sur une machine non infectée, les organisations peuvent créer un kill switch qui empêche le malware de lancer ses voleurs et ses extensions. Il s'agit d'une manière proactive de vacciner les systèmes contre les infections actuelles de Rhadamanthys.
2. Règles de détection avancées : le groupe Insikt a développé des règles de détection Sigma, Snort et YARA pour identifier l'activité de Rhadamanthys. Ces règles ciblent notamment l'exécution des fichiers MSI et le délai de réexécution du malware, afin de donner aux équipes de sécurité une chance de lutter contre cette menace en constante évolution.
3. Protection des points d'accès : le déploiement de solutions de détection et de réponse (EDR) et la mise en œuvre d'un accès au moindre privilège sur l'ensemble des systèmes sont essentiels pour se protéger contre Rhadamanthys. L'authentification multifactorielle (MFA) pour l'accès aux systèmes sensibles peut contribuer à atténuer l'impact du vol d'identifiants.
Outlook
Rhadamanthys continue d'évoluer à un rythme rapide, la prochaine version (0.8.0) étant déjà en cours de développement. L'introduction de fonctions d'IA, telles que l'extraction de phrases-clés, laisse entrevoir que les voleurs d'informations pourront à l'avenir tirer parti de l'apprentissage automatique pour améliorer leur efficacité. Bien que les stratégies d'atténuation actuelles soient efficaces contre Rhadamanthys v0.7.0, les versions futures sont susceptibles d'inclure des capacités encore plus avancées, ce qui nécessitera des mises à jour continues des techniques de détection.
To read the entire analysis, click here to download the report as a PDF.
Related