Rilevamento del Malware Rhadamanthys: Nuovo Infostealer Diffuso tramite Google Ads e Email Spam per Colpire i Portafogli Crypto e Rubare Informazioni Sensibili
Indice:
Gli esperti di sicurezza hanno fatto luce su un nuovo campione malevolo nascosto nell’arena malevola, uno stealer evasivo soprannominato Rhadamanthys. Il malware viene comunemente distribuito tramite annunci di Google che reindirizzano gli utenti compromessi a pagine web di phishing camuffate da software legittimi e ampiamente utilizzati.
Rileva il Malware Rhadamanthys
In considerazione della crescente popolarità dello stealer Rhadamanthys, ampiamente distribuito nell’arena delle minacce informatiche sotto il modello malware-as-a-service (MaaS), i professionisti della sicurezza necessitano di una fonte affidabile di contenuti di rilevazione per identificare possibili attacchi nelle fasi iniziali.
La piattaforma di Detection as Code di SOC Prime offre un set di regole Sigma per individuare l’attività malevola associata agli attacchi del malware info-stealer Rhadamanthys. Tutti i contenuti di rilevazione sono mappati a MITRE ATT&CK framework v12 e compatibili con oltre 25 piattaforme SIEM, EDR e XDR.
Premi il pulsante Esplora Rilevazioni qui sotto per controllare l’elenco delle regole di rilevazione rilevanti arricchite con metadati pertinenti, link CTI e riferimenti ATT&CK, per accelerare l’indagine delle minacce informatiche e potenziare le tue capacità di difesa informatica.
Analisi del Malware Rhadamanthys
Il nuovo info-stealer Rhadamanthys, apparso sulla scena alla fine del 2022, dirotta gli annunci di Google per ottenere l’accesso iniziale al sistema compromesso. Distribuito tramite il modello malware-as-a-service (MaaS), Rhadamanthys sta guadagnando costantemente popolarità nel dark web.
Oltre alle pagine web di phishing, Rhadamanthys può essere diffuso tramite malspam. Gli attori delle minacce sfruttano il nuovo ceppo per rubare le password degli utenti e scaricare dati sensibili dagli host compromessi. Inoltre, lo stealer evasivo mira a entità e portafogli di criptovaluta popolari per rubare le credenziali.
Secondo un’indagine di Cyble, nel caso delle campagne di malspam, la catena di attacco inizia con un file PDF che attira le vittime a scaricare il payload malevolo. Una volta aperto, l’allegato mostra una notifica con un link di download che si maschera da un aggiornamento software di Adobe Acrobat DC. Cliccando l’URL del falso aggiornamento, la minaccia lancia un file eseguibile che esegue lo stealer e consente agli avversari di accedere ai dati sensibili dall’ambiente compromesso.
Quando si sfrutta un vettore di attacco di phishing, gli avversari creano una pagina web fraudolenta che impersona Zoom, AnyDesk o altri siti fidati con un link a questi distribuito tramite annunci di Google. Questi siti malevoli scaricano un file eseguibile che si maschera da installatore legittimo. Come risultato della campagna malevola, l’utente compromesso scarica lo stealer Rhadamanthys senza notare le tracce di infezione.
Oltre 250.000 algoritmi di rilevazione per minacce emergenti sono a disposizione! Esplora di più su https://socprime.com/ e ottieni quelli di tua scelta con On Demand su https://my.socprime.com/pricing/Â
