Los actores de amenazas detrás del ladrón de información Rhadamanthys han agregado nuevas funciones avanzadas al malware, incluido el uso de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR) como parte de lo que se llama «reconocimiento de imágenes de frases iniciales». «Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de imágenes, lo que lo convierte en una amenaza muy potente para cualquiera que negocie con criptomonedas», dijo Insikt Group de Recorded Future en un análisis de la versión 0.7.0 del malware. «El malware puede reconocer imágenes de frases iniciales en el lado del cliente y enviarlas de vuelta al servidor de comando y control (C2) para su posterior explotación». Descubierto por primera vez en la naturaleza en septiembre de 2022, Rhadamanthys se ha convertido en uno de los ladrones de información más potentes que se anuncian bajo el modelo de malware como servicio (MaaS), junto con Lumma y otros. El malware continúa teniendo una presencia activa a pesar de sufrir prohibiciones en foros clandestinos como Exploit y XSS por apuntar a entidades dentro de Rusia y la ex Unión Soviética, y su desarrollador, que se conoce con el nombre de «kingcrete» (también conocido como «kingcrete2022»), encuentra formas de comercializar las nuevas versiones en Telegram, Jabber y TOX. La empresa de ciberseguridad, que será adquirida por Mastercard por 2.650 millones de dólares, dijo que el ladrón se vende mediante suscripción por 250 dólares al mes (o 550 dólares por 90 días), lo que permite a sus clientes recopilar una amplia gama de información confidencial de los sitios comprometidos. anfitriones. Esto incluye información del sistema, credenciales, billeteras de criptomonedas, contraseñas del navegador, cookies y datos almacenados en varias aplicaciones, al mismo tiempo que se toman medidas para complicar los esfuerzos de análisis dentro de entornos aislados. La versión 0.7.0, la versión más reciente de Rhadamanthys lanzada en junio de 2024, mejora significativamente su predecesora 0.6.0, que salió en febrero de 2024. Comprende una «reescritura completa de los marcos del lado del cliente y del servidor, mejorando la estabilidad de ejecución del programa», señaló Recorded Future. «Además, se agregaron 30 algoritmos para descifrar billeteras, gráficos con tecnología de inteligencia artificial y reconocimiento de PDF para extracción de frases. Se mejoró la capacidad de extracción de texto para identificar múltiples frases guardadas». También se incluye una función que permite a los actores de amenazas ejecutar e instalar archivos del instalador de software de Microsoft (MSI) en un aparente esfuerzo por evadir la detección de las soluciones de seguridad instaladas en el host. Además, contiene una configuración para evitar la reejecución dentro de un período de tiempo configurable. Cadena de infección de alto nivel de Rhadamanthys Un aspecto digno de mención de Rhadamanthys es su sistema de complementos que puede aumentar sus capacidades con funciones de registrador de teclas, recortador de criptomonedas y proxy inverso. «Rhadamanthys es una opción popular para los ciberdelincuentes», afirmó Recorded Future. «Junto con su rápido desarrollo y sus nuevas características innovadoras, es una amenaza formidable de la que todas las organizaciones deberían ser conscientes». El desarrollo se produce cuando Mandiant, propiedad de Google, detalló el uso que hace Lumma Stealer de la dirección indirecta de flujo de control personalizado para manipular la ejecución del malware. «Esta técnica frustra todas las herramientas de análisis binario, incluidas IDA Pro y Ghidra, obstaculizando significativamente no sólo el proceso de ingeniería inversa, sino también las herramientas de automatización diseñadas para capturar artefactos de ejecución y generar detecciones», dijeron los investigadores Nino Isakovic y Chuong Dong. También se ha descubierto que Rhadamanthys y Lumma, junto con otras familias de malware ladrón como Meduza, StealC, Vidar y WhiteSnake, han lanzado actualizaciones en las últimas semanas para recopilar cookies del navegador web Chrome, evitando de manera efectiva los mecanismos de seguridad recientemente introducidos, como el cifrado vinculado a aplicaciones. Además de eso, los desarrolladores detrás de WhiteSnake Stealer han agregado la capacidad de extraer códigos CVC de tarjetas de crédito almacenadas en Chrome, destacando la naturaleza en constante evolución del panorama del malware. Eso no es todo. Los investigadores han identificado una campaña de malware de Amadey que implementa un script AutoIt, que luego inicia el navegador de la víctima en modo quiosco para obligarla a ingresar las credenciales de su cuenta de Google. La información de inicio de sesión se almacena en el almacén de credenciales del navegador en el disco para su posterior recolección por parte de ladrones como StealC. Estas actualizaciones continuas también siguen al descubrimiento de nuevas campañas de descargas no autorizadas que generan ladrones de información al engañar a los usuarios para que copien y ejecuten manualmente el código de PowerShell para demostrar que son humanos mediante una página engañosa de verificación CAPTCHA. Como parte de la campaña, los usuarios que buscan servicios de transmisión de video en Google son redirigidos a una URL maliciosa que los insta a presionar el botón de Windows + R para iniciar el menú Ejecutar, pegar un comando PowerShell codificado y ejecutarlo, según CloudSEK, eSentire. , Unidad 42 de Palo Alto Networks y Secureworks. El ataque, que en última instancia resulta en ladrones como Lumma, StealC y Vidar, es una variante de la campaña ClickFix documentada en los últimos meses por ReliaQuest, Proofpoint, McAfee Labs y Trellix. «Este novedoso vector de ataque plantea un riesgo significativo, ya que elude los controles de seguridad del navegador al abrir un símbolo del sistema», dijo Secureworks. «Luego se indica a la víctima que ejecute código no autorizado directamente en su host». También se han observado campañas de phishing y publicidad maliciosa que distribuyen Atomic macOS Stealer (AMOS), Rilide, así como una nueva variante de un malware ladrón llamado Snake Keylogger (también conocido como 404 Keylogger o KrakenKeylogger). Además, los ladrones de información como Atomic, Rhadamanthys y StealC han estado en el centro de más de 30 campañas de estafa orquestadas por una banda de ciberdelincuentes conocida como Marko Polo para llevar a cabo el robo de criptomonedas en todas las plataformas haciéndose pasar por marcas legítimas en juegos en línea, reuniones virtuales y software de productividad. y criptomoneda. «Marko Polo se dirige principalmente a jugadores, personas influyentes en criptomonedas y desarrolladores de software a través de phishing en las redes sociales, destacando su enfoque en víctimas conocedoras de la tecnología», dijo Recorded Future, y agregó que «probablemente decenas de miles de dispositivos se han visto comprometidos en todo el mundo». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.