Detección de Malware Rhadamanthys: Nuevo Infostealer Distribuido a través de Anuncios de Google y Correos Electrónicos de Spam para Atacar Monederos de Criptomonedas y Robar Información Sensible
Tabla de contenidos:
Los expertos en seguridad han arrojado luz sobre una muestra maliciosa novedosa que se esconde en la arena maliciosa, un ladrón evasivo llamado Rhadamanthys. El malware se distribuye comúnmente a través de anuncios de Google que redirigen a los usuarios comprometidos a páginas de phishing disfrazadas de software legítimo ampliamente utilizado.
Detectar el Malware Rhadamanthys
En vista de la creciente popularidad del ladrón Rhadamanthys que se distribuye ampliamente en el ámbito de las ciberamenazas bajo el modelo de malware como servicio (MaaS), los profesionales de la seguridad necesitan una fuente confiable de contenido de detección para identificar posibles ataques en las etapas más tempranas.
La plataforma Detection as Code de SOC Prime ofrece un conjunto de reglas Sigma para detectar la actividad maliciosa asociada con los ataques de malware de robo de información Rhadamanthys. Todo el contenido de detección está mapeado al Marco MITRE ATT&CK v12 y es compatible con más de 25 plataformas SIEM, EDR y XDR.
Presiona el botón Explorar Detección a continuación para ver la lista de reglas de detección relevantes enriquecidas con metadatos relevantes, enlaces CTI y referencias ATT&CK para acelerar la investigación de ciberamenazas y potenciar tus capacidades de defensa cibernética.
Análisis del Malware Rhadamanthys
El nuevo ladrón de información Rhadamanthys, que apareció a finales de 2022, secuestra anuncios de Google para obtener acceso inicial al sistema comprometido. Distribuido a través del modelo de malware como servicio (MaaS), Rhadamanthys está ganando popularidad en la web oscura.
Además de las páginas de phishing, Rhadamanthys puede propagarse a través de malspam. Los actores de amenazas aprovechan la nueva variante para robar contraseñas de usuarios y extraer datos sensibles de los hosts comprometidos. Además, el ladrón de información evasivo apunta a entidades y billeteras de criptomonedas populares para robar las credenciales.
Según una investigación realizada por Cyble, en el caso de las campañas de malsapm, la cadena de ataque comienza con un archivo PDF que atrae a las víctimas a descargar la carga maliciosa. Una vez abierto, el archivo adjunto muestra una notificación con un enlace de descarga disfrazado de una actualización de software de Adobe Acrobat DC. Al hacer clic en la URL de actualización falsa, la amenaza lanza un archivo ejecutable que ejecuta el ladrón y permite a los adversarios acceder a datos sensibles del entorno comprometido.
Al utilizar un vector de ataque de phishing, los adversarios crean una página fraudulenta que suplanta a Zoom, AnyDesk u otros sitios web confiables con un enlace a ellos difundido a través de anuncios de Google. Estos sitios maliciosos descargan un archivo ejecutable disfrazado de instalador legítimo. Como resultado de la campaña maliciosa, el usuario comprometido descarga Rhadamanthys infostealer sin notar las huellas de la infección.
¡Más de 250,000 algoritmos de detección para amenazas emergentes están al alcance! Explora más en https://socprime.com/ y obtén los de tu elección con On Demand en https://my.socprime.com/pricing/
