Хакеры внедрили ИИ в Rhadamanthys Stealer: какие цели они преследуют?

Исследователи из Recorded Future обнаружили, что злоумышленники, стоящие за вредоносным ПО Rhadamanthys, добавили новые возможности, основанные на искусственном интеллекте (ИИ). Новая функция, именуемая «распознавание изображений с начальной фразой» (Seed Phrase Image Recognition), позволяет ПО извлекать из изображений начальные фразы криптокошельков, что представляет серьёзную угрозу для пользователей криптовалют.

Иными словами, теперь вредоносная программа Rhadamanthys способна выявлять изображения с начальными фразами криптокошельков на устройстве жертвы и отправлять их на сервер управления для дальнейшей эксплуатации. Такая возможность повышает риск кражи средств из криптовалютных кошельков.

Появившись в сентябре 2022 года, Rhadamanthys быстро стал одним из наиболее мощных инфостилеров на рынке вредоносного ПО как услуги (MaaS). Несмотря на запреты на некоторых подпольных форумах, например, Exploit и XSS, создатель данного ПО, известный как «kingcrete», активно продвигает его в Telegram, Jabber и TOX.

ПО продаётся по подписке за $250 в месяц или $550 за 90 дней, что даёт злоумышленникам доступ к конфиденциальной информации: системным данным, учётным записям, криптокошелькам, паролям браузеров, куки и другим данным, находящимся на заражённых устройствах. При этом автор Rhadamanthys активно усложняет анализ своего ПО в песочнице и других исследовательских средах.

Новая версия 0.7.0, выпущенная в июне этого года, существенно улучшена по сравнению с версией 0.6.0, вышедшей в феврале. По данным Recorded Future, автором было полностью переписано клиентское и серверное ПО, улучшена стабильность работы, добавлены 30 алгоритмов взлома криптокошельков, функции распознавания графики и PDF-документов, а также расширены возможности извлечения текста для обнаружения множества сохранённых фраз.

Помимо этого, внедрена возможность установки MSI-файлов для обхода средств безопасности на устройстве жертвы. Rhadamanthys также поддерживает плагин-систему, которая расширяет функционал за счёт возможностей кейлоггера, криптоклиппера и обратного прокси.

Специалисты отмечают, что Rhadamanthys Stealer пользуется популярностью у киберпреступников благодаря своему быстрому развитию и инновационным функциям. Среди других схожих инфостилеров, таких как Lumma, Meduza, StealC, Vidar и WhiteSnake, также наблюдается стремительное обновление и внедрение новых функций, например, сбор куки из браузера Chrome и обход недавно введённых механизмов безопасности.

В это время другие вредоносные кампании, такие как Amadey, используют различные техники социальной инженерии и фишинговые сайты для получения учётных данных жертв. Киберпреступники привлекают пользователей на поддельные страницы и принуждают к выполнению определенных действий, например, запуску PowerShell-кода, для установки и запуска вредоносного ПО.

Эксперты предупреждают, что постоянные обновления и новые тактики, применяемые хакерами, создают серьёзные риски для пользователей интернета и криптовалют, усиливая необходимость надёжной киберзащиты и бдительности.