Μια νέα διαδικτυακή καμπάνια που στοχεύει Ισραηλινούς χρήστες, έχει φέρει στο προσκήνιο τον εξελιγμένο κλέφτη πληροφοριών RHADAMANTHYS Stealer.
Δείτε επίσης: Οι hackers TA547 στοχεύουν τη Γερμανία με το Rhadamanthys malware
Το RHADAMANTHYS Stealer, που προέρχεται από ρωσόφωνους εγκληματίες του κυβερνοχώρου και προσφέρεται ως malware-as-a-service, διαπρέπει στην εξαγωγή δεδομένων.
Πρόσφατα δείγματα και σε βάθος ανάλυση αποκαλύπτουν μια πολύπλοκη αλυσίδα μόλυνσης και εκτεταμένες δυνατότητες ωφέλιμου φορτίου, υπογραμμίζοντας το εξελισσόμενο τοπίο απειλών και την ανάγκη για ισχυρή άμυνα ενάντια σε αυτό το κακόβουλο λογισμικό.
Η επίθεση χρησιμοποιεί μια τακτική social engineering, χρησιμοποιώντας ένα εβραϊκό ηλεκτρονικό μήνυμα phishing που μεταμφιέζεται ως νόμιμη ειδοποίηση από τους Calcalist και Mako.
To email αξιοποιεί τον επείγοντα χαρακτήρα και τον φόβο των νομικών επιπτώσεων, ισχυριζόμενο ψευδώς παραβίαση πνευματικών δικαιωμάτων, προτρέποντας την άμεση δράση, η οποία χειραγωγεί την ψυχολογία των χρηστών για να παρακάμψει τα μέτρα ασφαλείας εκμεταλλευόμενο την πίεση χρόνου και το άγχος για πιθανά νομικά προβλήματα.
Δείτε ακόμα: Νέα phishing καμπάνια διανέμει το Rhadamanthys malware
Κατά την εκτέλεση, το RHADAMANTHYS Stealer χρησιμοποιεί τακτικές κατά της ανάλυσης και κατά της εξομοίωσης για να εμποδίσει την ανίχνευση σε περιβάλλοντα sandbox, η οποία ξεκινά μια διαδικασία μόλυνσης πολλαπλών σταδίων, αξιοποιώντας το παρεχόμενο msimg32.dll και ένα μεγαλύτερο αρχείο υποστήριξης για να εδραιωθεί στο παραβιασμένο σύστημα.
Το RHADAMANTHYS είναι ένα εξελιγμένο σύστημα κλοπής πληροφοριών που χρησιμοποιεί process injection σε νόμιμες διεργασίες των Windows για να αποφύγει τον εντοπισμό, χρησιμοποιώντας τεχνικές αντι-ανάλυσης όπως ανίχνευση εικονικής μηχανής και εντοπισμό σφαλμάτων, αλλά και χρονική διαφυγή.
Το κακόβουλο λογισμικό παραμένει μέσω της τροποποίησης του μητρώου, κλέβει ευαίσθητα δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων, του ιστορικού περιήγησης, των πληροφοριών κρυπτονομισμάτων και των λεπτομερειών του συστήματος, και επικοινωνεί με τον διακομιστή C2 του χρησιμοποιώντας κρυπτογραφημένη κίνηση μέσω HTTPS και μια μη τυπική θύρα.
Σύμφωνα με τον ερευνητή, λειτουργεί επίσης ως πρόγραμμα λήψης για επακόλουθα ωφέλιμα φορτία κακόβουλου λογισμικού, αποτελώντας σημαντική απειλή για τα παραβιασμένα συστήματα.
Το κακόβουλο λογισμικό εμφανίζει κακόβουλη συμπεριφορά σε πολλαπλά στοιχεία του συστήματος διενεργώντας επιθετικές αναζητήσεις DNS, πιθανώς για ελιγμούς αποφυγής ή επικοινωνία C2.
Δείτε επίσης: Rhadamanthys Stealer: Εξελίσσεται με πιο ισχυρά χαρακτηριστικά
Το infostealer είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών από τη συσκευή του θύματος χωρίς τη συγκατάθεσή του. Αυτό το λογισμικό στοχεύει συνήθως προσωπικά δεδομένα όπως ονόματα χρήστη, κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και άλλες εμπιστευτικές πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης ή εφαρμογές. Μόλις εγκατασταθούν, οι infostealers μπορούν να λειτουργούν στο παρασκήνιο, παρακολουθώντας σιωπηλά τη δραστηριότητα των χρηστών και καταγράφοντας δεδομένα. Οι κλεμμένες πληροφορίες συχνά αποστέλλονται σε έναν εξωτερικό διακομιστή όπου οι εγκληματίες του κυβερνοχώρου μπορούν να έχουν πρόσβαση σε αυτές για δόλιες σκοπούς. Η προστασία από κλέφτες πληροφοριών απαιτεί ισχυρά μέτρα ασφάλειας στον κυβερνοχώρο, όπως ενημερωμένο λογισμικό προστασίας από ιούς, τακτικές σαρώσεις συστήματος και πρακτικές ασφαλούς περιήγησης για να αποφύγετε να πέσετε θύματα επιθέσεων phishing ή κακόβουλων λήψεων.
Πηγή: cybersecuritynews
