Detecção de Malware Rhadamanthys: Novo Infostealer Espalhado por Anúncios do Google e E-mails de Spam para Alvejar Carteiras de Criptomoedas e Despejar Informações Sensíveis

Especialistas em segurança trouxeram à luz uma amostra maliciosa nova escondida na arena maliciosa, um stealer evasivo apelidado de Rhadamanthys. O malware é comumente distribuído por meio de anúncios do Google que redirecionam usuários comprometidos para páginas de phishing disfarçadas de softwares legítimos amplamente utilizados.

Detectar o Malware Rhadamanthys

Diante da crescente popularidade do stealer Rhadamanthys, amplamente distribuído na arena de ameaças cibernéticas sob o modelo de malware como serviço (MaaS), os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar possíveis ataques nas primeiras fases.

A Plataforma Detection as Code da SOC Prime oferece um conjunto de regras Sigma para identificar a atividade maliciosa associada a ataques de malware de roubo de informações Rhadamanthys. Todo o conteúdo de detecção está mapeado para MITRE ATT&CK framework v12 e é compatível com mais de 25 plataformas SIEM, EDR e XDR.

Clique no botão Explorar Detecções abaixo para verificar a lista de regras de detecção relevantes enriquecidas com metadados relevantes, links CTI e referências ATT&CK para acelerar a investigação de ameaças cibernéticas e aumentar suas capacidades de defesa cibernética.

Explorar Detecções

Análise de Malware Rhadamanthys

O novo stealer de informações Rhadamanthys, que surgiu no final de 2022, sequestra anúncios do Google para obter acesso inicial ao sistema comprometido. Distribuído via modelo de malware como serviço (MaaS), Rhadamanthys está constantemente ganhando popularidade na dark web.

Além de páginas de phishing, Rhadamanthys pode ser disseminado via malspam. Os agentes de ameaça utilizam a nova cepa para roubar senhas de usuários e extrair dados sensíveis de hosts comprometidos. Além disso, o stealer evasivo visa entidades populares de criptomoedas e carteiras para roubar as credenciais.

De acordo com investigação da Cyble, no caso de campanhas de malspam, a cadeia de ataque começa com um arquivo PDF que atrai as vítimas para baixar a carga maliciosa. Uma vez aberto, o anexo mostra uma notificação com um link para download disfarçado como uma atualização de software do Adobe Acrobat DC. Ao clicar na URL de atualização falsa, a ameaça lança um arquivo executável que executa o stealer e permite que os adversários acessem dados sensíveis do ambiente comprometido.

Ao utilizar um vetor de ataque de phishing, os adversários criam uma página fraudulenta que imita o Zoom, AnyDesk ou outros sites confiáveis, com um link disseminado por meio de anúncios do Google. Esses sites maliciosos baixam um arquivo executável disfarçado como um instalador legítimo. Como resultado da campanha maliciosa, o usuário comprometido baixa o infostealer Rhadamanthys sem perceber os traços de infecção.

Mais de 250.000 algoritmos de detecção para ameaças emergentes estão à disposição! Explore mais em https://socprime.com/ e obtenha os de sua escolha com On Demand em https://my.socprime.com/pricing/