Хакеры внедрили ИИ в Rhadamanthys Stealer: какие цели они преследуют?

Хакеры внедрили ИИ в Rhadamanthys Stealer: какие цели они преследуют?

Преступники активно осваивают новые техники, создавая нестандартное вредоносное ПО.

image

Исследователи из Recorded Future обнаружили, что злоумышленники, стоящие за вредоносным ПО Rhadamanthys, добавили новые возможности, основанные на искусственном интеллекте (ИИ). Новая функция, именуемая «распознавание изображений с начальной фразой» (Seed Phrase Image Recognition), позволяет ПО извлекать из изображений начальные фразы криптокошельков, что представляет серьёзную угрозу для пользователей криптовалют.

Иными словами, теперь вредоносная программа Rhadamanthys способна выявлять изображения с начальными фразами криптокошельков на устройстве жертвы и отправлять их на сервер управления для дальнейшей эксплуатации. Такая возможность повышает риск кражи средств из криптовалютных кошельков.

Появившись в сентябре 2022 года, Rhadamanthys быстро стал одним из наиболее мощных инфостилеров на рынке вредоносного ПО как услуги (MaaS). Несмотря на запреты на некоторых подпольных форумах, например, Exploit и XSS, создатель данного ПО, известный как «kingcrete», активно продвигает его в Telegram, Jabber и TOX.

ПО продаётся по подписке за $250 в месяц или $550 за 90 дней, что даёт злоумышленникам доступ к конфиденциальной информации: системным данным, учётным записям, криптокошелькам, паролям браузеров, куки и другим данным, находящимся на заражённых устройствах. При этом автор Rhadamanthys активно усложняет анализ своего ПО в песочнице и других исследовательских средах.

Новая версия 0.7.0, выпущенная в июне этого года, существенно улучшена по сравнению с версией 0.6.0, вышедшей в феврале. По данным Recorded Future, автором было полностью переписано клиентское и серверное ПО, улучшена стабильность работы, добавлены 30 алгоритмов взлома криптокошельков, функции распознавания графики и PDF-документов, а также расширены возможности извлечения текста для обнаружения множества сохранённых фраз.

Помимо этого, внедрена возможность установки MSI-файлов для обхода средств безопасности на устройстве жертвы. Rhadamanthys также поддерживает плагин-систему, которая расширяет функционал за счёт возможностей кейлоггера, криптоклиппера и обратного прокси.

Специалисты отмечают, что Rhadamanthys Stealer пользуется популярностью у киберпреступников благодаря своему быстрому развитию и инновационным функциям. Среди других схожих инфостилеров, таких как Lumma, Meduza, StealC, Vidar и WhiteSnake, также наблюдается стремительное обновление и внедрение новых функций, например, сбор куки из браузера Chrome и обход недавно введённых механизмов безопасности.

В это время другие вредоносные кампании, такие как Amadey, используют различные техники социальной инженерии и фишинговые сайты для получения учётных данных жертв. Киберпреступники привлекают пользователей на поддельные страницы и принуждают к выполнению определенных действий, например, запуску PowerShell-кода, для установки и запуска вредоносного ПО.

Эксперты предупреждают, что постоянные обновления и новые тактики, применяемые хакерами, создают серьёзные риски для пользователей интернета и криптовалют, усиливая необходимость надёжной киберзащиты и бдительности.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь