Rhadamanthys Malware-Erkennung: Neuer Infostealer verbreitet sich über Google Ads & Spam-E-Mails, um Krypto-Wallets anzugreifen und sensible Informationen auszulesen
Inhaltsverzeichnis:
Sicherheitsexperten haben ein neuartiges schädliches Beispiel ans Licht gebracht, das sich in der bösartigen Arena verbirgt, ein ausweichender Stealer namens Rhadamanthys. Die Malware wird häufig über Google-Anzeigen verbreitet, die kompromittierte Benutzer auf Phishing-Webseiten weiterleiten, die sich als weit verbreitete, legitime Software tarnen.
Rhadamanthys Malware erkennen
Angesichts der wachsenden Beliebtheit des Rhadamanthys-Stealers, der in der Cyberbedrohungsarena unter dem Modell Malware-as-a-Service (MaaS) breit verteilt wird, benötigen Sicherheitsfachleute eine zuverlässige Quelle für Erkennungsinhalte, um mögliche Angriffe in den frühesten Stadien zu identifizieren.
SOC Primes Detection as Code Plattform bietet eine Reihe von Sigma-Regeln, um die bösartige Aktivität zu erkennen, die mit Rhadamanthys Informationsdiebstahl-Malware-Angriffen verbunden ist. Alle Erkennungsinhalte sind zugeordnet zu MITRE ATT&CK Framework v12 und kompatibel mit über 25 SIEM-, EDR- und XDR-Plattformen.
Klicken Sie auf die Schaltfläche „Erkundung von Erkennungen“ unten, um die Liste der relevanten Erkennungsregeln anzuzeigen, die mit relevanten Metadaten, CTI-Links und ATT&CK-Referenzen angereichert sind, um die Cyber-Bedrohungsermittlung zu beschleunigen und Ihre Cyber-Verteidigungsfähigkeiten zu stärken.
Rhadamanthys Malware-Analyse
Der neue Rhadamanthys-Informationsdiebstahl, der Ende 2022 auf den Plan trat, kapert Google-Anzeigen, um anfänglichen Zugriff auf das kompromittierte System zu erlangen. Verbreitet über das Modell Malware-as-a-Service (MaaS), gewinnt Rhadamanthys stetig an Popularität im Darknet.
Neben Phishing-Webseiten kann Rhadamanthys über Malspam verbreitet werden. Bedrohungsakteure nutzen den neuen Typ, um Benutzerpasswörter zu stehlen und sensible Daten von kompromittierten Hosts zu entleeren. Darüber hinaus zielt der ausweichende Informationsdiebstahl auf beliebte Kryptowährungseinheiten und Wallets ab, um deren Anmeldedaten zu stehlen.
Laut einer Untersuchung von Cyblebeginnt im Falle von Malspam-Kampagnen die Angriffs-Kill-Kette mit einer PDF-Datei, die Opfer dazu verleitet, die schädliche Nutzlast herunterzuladen. Sobald der Anhang geöffnet wird, zeigt er eine Benachrichtigung mit einem Downloadlink an, der sich als ein Adobe Acrobat DC Software-Update tarnt. Durch Klicken auf die gefälschte Update-URL wird eine ausführbare Datei gestartet, die den Stealer ausführt und es den Angreifern ermöglicht, auf sensible Daten aus der kompromittierten Umgebung zuzugreifen.
Beim Einsatz eines Phishing-Angriffsvektors erstellen Angreifer eine betrügerische Webseite, die sich als Zoom, AnyDesk oder andere vertrauenswürdige Websites ausgibt, mit einem Link zu ihnen, der über Google-Anzeigen verbreitet wird. Diese bösartigen Seiten laden eine ausführbare Datei herunter, die sich als legitimer Installer tarnt. Als Ergebnis der böswilligen Kampagne lädt der kompromittierte Benutzer den Rhadamanthys-Informationsdieb herunter, ohne die Infektionsspuren zu bemerken.
Über 250.000 Erkennungsalgorithmen für aufkommende Bedrohungen stehen zur Verfügung! Entdecken Sie mehr unter https://socprime.com/ und erhalten Sie die Ihrer Wahl mit On Demand unter https://my.socprime.com/pricing/
