AI 驱动的 Rhadamanthys Stealer 通过图像识别瞄准加密钱包 - 黑客新闻

2024-10-01 16:34:00 英文原文

Rhadamanthys 信息窃取程序背后的威胁行为者已为恶意软件添加了新的高级功能,包括使用人工智能 (AI) 进行光学字符识别 (OCR),作为所谓的“种子短语图像识别”的一部分。

“恶意软件可以识别客户端的助记词图像,并将其发送回命令与控制 (C2) 服务器以供进一步利用。”

首次在野外发现到 2022 年 9 月,Rhadamanthys 已成为最强大的信息窃取者之一,与 Lumma 等一起在恶意软件即服务 (MaaS) 模式下进行宣传。

该恶意软件继续拥有尽管因针对俄罗斯和前苏联境内的实体而遭到 Exploit 和 XSS 等地下论坛的禁止,但其开发者(其名称为“kingcrete”(又名“kingcrete2022”))仍在积极寻找在Telegram、Jabber 和 TOX。

这家即将被万事达卡以 26.5 亿美元收购的网络安全公司表示,该窃取程序以每月 250 美元的订阅价格出售(或 90 天 550 美元),允许其客户从受感染的主机获取广泛的敏感信息。

这包括系统信息、凭据、加密货币钱包、浏览器密码、cookie 和存储在各种应用程序中的数据,同时采取措施沙盒环境中的分析工作变得复杂。

版本 0.7.0 是 2024 年 6 月发布的最新版本的 Rhadamanthys,比 2024 年 2 月发布的前身版本 0.6.0 有了显着改进。

Recorded Future 指出,它“完全重写了客户端和服务器端框架,提高了程序的执行稳定性”。“此外,还添加了 30 种钱包破解算法、人工智能驱动的图形和用于短语提取的 PDF 识别。文本提取功能得到增强,可以识别多个已保存的短语。”

还包括一项功能,允许威胁参与者运行并安装 Microsoft Software Installer (MSI) 文件,显然是为了逃避主机上安装的安全解决方案的检测。它还包含一个设置,以防止在可配置的时间范围内重新执行。

Rhadamanthys的高级感染链

Rhadamanthys 的一个值得注意的方面是它的插件系统,可以通过键盘记录器、加密货币剪辑器和反向代理功能来增强其功能。

“Rhadamanthys 是网络犯罪分子的热门选择,”Recorded Future 表示。“再加上它的快速发展和创新的新功能,它是所有组织都应该意识到的巨大威胁。”

这一发展正值 Google 旗下的 Mandiant 详细介绍了 Lumma Stealer 使用定制的控制流间接来操纵

“这种技术会阻碍包括 IDA Pro 和 Ghidra 在内的所有二进制分析工具,不仅严重阻碍了逆向工程过程,而且还阻碍了旨在捕获执行工件和生成检测的自动化工具,”研究人员 Nino Isakovic 和 Chuong Dong 表示。

Rhadamanthys 和 Lumma 以及 Meduza、StealC、Vidar 和 WhiteSnake 等其他窃取恶意软件家族也被发现在最近几周发布了更新,以从 Chrome 网络收集 cookie浏览器,有效绕过新引入的安全机制,例如应用程序绑定加密。

除此之外,WhiteSnake Stealer 背后的开发人员还添加了从 Chrome 中存储的信用卡中提取 CVC 代码的功能,这凸显了-恶意软件格局不断变化的性质。

这还不是全部。研究人员发现,Amadey 恶意软件活动部署了 AutoIt 脚本,然后以信息亭模式启动受害者的浏览器,迫使他们输入 Google 帐户凭据。登录信息存储在磁盘上浏览器的凭据存储中,以便 StealC 等窃取者随后收集。

这些持续更新还遵循新的偷渡式下载活动的发现,这些活动通过诱骗用户来传递信息窃取者手动复制并执行 PowerShell 代码,通过欺骗性的验证码验证页面来证明自己是人类。

作为该活动的一部分,在 Google 上搜索视频流服务的用户会被重定向到恶意 URL,促使他们根据 CloudSEK、eSentire、Palo Alto Networks Unit 42 和 Secureworks 的说法,按 Windows 按钮 R 启动“运行”菜单,粘贴编码的 PowerShell 命令并执行它。

最终导致窃取者的攻击Lumma、StealC 和 Vidar 等,是 ReliaQuest、Proofpoint、McAfee Labs 和 Trellix 近几个月记录的 ClickFix 活动的变体。

“这种新颖的攻击媒介会带来重大风险,因为它会规避通过打开命令提示符来控制浏览器安全,”Secureworks 说。“然后,受害者被指示直接在其主机上执行未经授权的代码。”

还观察到网络钓鱼和恶意广告活动分发 Atomic macOS Stealer (AMOS)、Rilide 以及窃取程序的新变种名为 Snake Keylogger(又名 404 Keylogger 或 KrakenKeylogger)的恶意软件。

此外,Atomic、Rhadamanthys 和 StealC 等信息窃取程序已成为由名为 Marko Polo 的网络犯罪团伙精心策划的 30 多个诈骗活动的核心。通过冒充在线游戏、虚拟会议和生产力软件以及加密货币中的合法品牌,跨平台进行加密货币盗窃。

“Marko Polo 通过社交媒体上的鱼叉式网络钓鱼主要针对游戏玩家、加密货币影响者和软件开发人员,强调Recorded Future 表示,“它的重点是精通技术的受害者”,并补充说“全球可能有数以万计的设备受到损害。”

关于《AI 驱动的 Rhadamanthys Stealer 通过图像识别瞄准加密钱包 - 黑客新闻》的评论


暂无评论

发表评论

摘要

Rhadamanthys 信息窃取程序背后的威胁行为者为恶意软件添加了新的高级功能,包括使用人工智能 (AI) 进行光学字符识别 (OCR),作为所谓的“种子短语图像识别”的一部分。这使得 Rhadamanthys 能够提取加密货币Recorded Future 的 Insikt Group 在对该恶意软件 0.7.0 版本的分析中表示,“从图像中获取钱包助记词,使其对任何加密货币交易者构成高度威胁。”文本提取功能得到增强,可以识别多个已保存的短语。研究人员发现,Amadey 恶意软件活动部署了 AutoIt 脚本,然后以信息亭模式启动受害者的浏览器,迫使他们输入 Google 帐户凭据。“还观察到网络钓鱼和恶意广告活动分发 Atomic macOS Stealer (AMOS)、Rilide 以及名为 Snake Keylogger(又名 404 Keylogger 或 KrakenKeylogger)的窃取恶意软件的新变种。此外,Atomic、Radamanthys 和StealC 是由名为 Marko Polo 的网络犯罪团伙精心策划的 30 多个诈骗活动的核心,这些活动通过冒充在线游戏、虚拟会议和生产力软件以及加密货币领域的合法品牌,跨平台进行加密货币盗窃。