Судья мёртвых в цифровом мире: RHADAMANTHYS атакует Израиль
Как фишинговые письма на иврите маскируются под известные СМИ.
В мире киберугроз появилась новая вредоносная кампания, нацеленная на пользователей из Израиля, с использованием продвинутого вируса RHADAMANTHYS. Этот вирус представляет серьёзную угрозу для организаций и простых пользователей, демонстрируя сложные методы заражения и мощные возможности для кражи данных.
RHADAMANTHYS впервые появился в конце 2023 года и начал быстро распространяться на закрытых киберпреступных форумах по модели MaaS (вредоносное ПО как услуга). Название вируса связано с мифологическим персонажем Радамантом, судьёй мёртвых, что подчёркивает его способности собирать данные.
Атака начинается с тщательно продуманного фишингового письма на иврите. Сообщение, маскирующееся под известные израильские СМИ «Calcalist» и «Mako», содержит срочное уведомление о нарушении авторских прав. Письмо написано профессиональным языком, имитирующим деловую переписку, и призывает к действию в течение 24 часов. Во вложении содержится RAR-архив, замаскированный под важные юридические документы.
После распаковки архива взору потенциальной жертвы предстают сразу три компонента: исполняемый файл с названием на иврите, DLL-файл «msimg32.dll», а также некий вспомогательный файл объёмом 142,8 МБ.
После открытия исполняемого файла начинается многоступенчатый процесс заражения. Вирус проверяет наличие в системе инструментов анализа и использует методы для их обхода. Затем он внедряет свой код в легитимные процессы Windows. Среди рассмотренных исследователями, под удар попали следующие процессы: «OpenWith.exe», «OOBE-Maintenance.exe», «dllhost.exe»
Вредонос с ходу обнаруживает виртуальные машины и отладчики, используя временные задержки для обхода песочниц. Он также вносит изменения в реестр Windows для запуска при каждом старте системы.
Из вредоносных функций RHADAMANTHYS можно отметить сбор паролей, данных криптовалютных кошельков, системной информации, офисных документов, снимков экрана и нажатий клавиш.
RHADAMANTHYS использует зашифрованные каналы связи для взаимодействия с командными серверами. Основной сервер в рассмотренной кампании находился по IP-адресу 103.68.109.208, с использованием портов 443 и 1630.
Для защиты от RHADAMANTHYS рекомендуется устанавливать надёжные фильтры электронной почты, песочницы для анализа вложений, проводить регулярное обучение сотрудников по вопросам фишинга, использовать современные решения для защиты конечных точек, ограничивать возможность перемещения внутри сети, регулярно делать резервные копии данных, устанавливать все обновления и патчи, а также использовать многофакторную аутентификацию.
Появление RHADAMANTHYS подчёркивает рост профессионализма в киберпреступной экосистеме и необходимость постоянной бдительности. Вирус представляет серьёзную угрозу, демонстрируя сложные методы кражи данных и обхода защитных механизмов.