Détection du logiciel malveillant Rhadamanthys : Nouveau voleur d’informations propagé via Google Ads et e-mails de spam visant les portefeuilles crypto et la divulgation d’informations sensibles
Table des matières :
Les experts en sécurité ont mis en lumière un nouvel échantillon malveillant caché dans l’arène malveillante, un stealer évasif nommé Rhadamanthys. Le malware est couramment distribué via des annonces Google redirigeant les utilisateurs compromis vers des pages de phishing déguisées en logiciels légitimes largement utilisés.
Détecter le Malware Rhadamanthys
Compte tenu de la popularité croissante du stealer Rhadamanthys largement distribué dans l’arène des cybermenaces sous le modèle de malware en tant que service (MaaS), les professionnels de la sécurité ont besoin d’une source fiable de contenu de détection pour identifier les attaques possibles dès les premières étapes.
La plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pour détecter l’activité malveillante associée aux attaques de malware de vol d’informations Rhadamanthys. Tout le contenu de détection est mappé au cadre MITRE ATT&CK v12 et compatible avec plus de 25 plateformes SIEM, EDR et XDR.
Cliquez sur le bouton Explorer les Détections ci-dessous pour consulter la liste des règles de détection pertinentes enrichies de métadonnées pertinentes, de liens CTI et de références ATT&CK pour accélérer l’investigation des cybermenaces et améliorer vos capacités de cyberdéfense.
Analyse du Malware Rhadamanthys
Le nouveau stealer d’informations Rhadamanthys, apparu fin 2022, détourne les annonces Google pour obtenir un accès initial au système compromis. Distribué via le modèle de malware en tant que service (MaaS), Rhadamanthys gagne régulièrement en popularité sur le dark web.
En plus des pages de phishing, Rhadamanthys peut être propagé via le malspam. Les acteurs malveillants exploitent cette nouvelle souche pour voler les mots de passe des utilisateurs et vider les données sensibles des hôtes compromis. De plus, le stealer d’informations évasif cible les entités et portefeuilles de cryptomonnaie populaires pour voler les identifiants.
Selon une enquête de Cyble, dans le cas des campagnes de malspam, la chaîne de destruction commence par un fichier PDF qui incite les victimes à télécharger la charge utile malveillante. Une fois ouvert, la pièce jointe affiche une notification avec un lien de téléchargement se faisant passer pour une mise à jour du logiciel Adobe Acrobat DC. En cliquant sur l’URL de la fausse mise à jour, la menace lance un fichier exécutable qui exécute le stealer et permet aux adversaires d’accéder aux données sensibles de l’environnement compromis.
En exploitant un vecteur d’attaque par hameçonnage, les adversaires créent une page web frauduleuse usurpant Zoom, AnyDesk ou d’autres sites de confiance avec un lien vers ceux-ci diffusé via des annonces Google. Ces sites malveillants téléchargent un fichier exécutable se faisant passer pour un installateur légitime. En conséquence, de la campagne malveillante, l’utilisateur compromis télécharge le stealer d’informations Rhadamanthys sans remarquer les traces de l’infection.
Plus de 250 000 algorithmes de détection pour les menaces émergentes sont à portée de main ! Découvrez-en plus sur https://socprime.com/ et obtenez ceux de votre choix avec On Demand sur https://my.socprime.com/pricing/
