02/10/24
Исследователи из Recorded Future обнаружили, что злоумышленники, стоящие за вредоносным ПО Rhadamanthys, добавили новые возможности, основанные на искусственном интеллекте (ИИ). Новая функция, именуемая «распознавание изображений с начальной фразой» (Seed Phrase Image Recognition), позволяет ПО извлекать из изображений начальные фразы криптокошельков, что представляет серьёзную угрозу для пользователей криптовалют.
Иными словами, теперь вредоносная программа Rhadamanthys способна выявлять изображения с начальными фразами криптокошельков на устройстве жертвы и отправлять их на сервер управления для дальнейшей эксплуатации, пишет Securitylab. Такая возможность повышает риск кражи средств из криптовалютных кошельков.
Появившись в сентябре 2022 года, Rhadamanthys быстро стал одним из наиболее мощных инфостилеров на рынке вредоносного ПО как услуги (MaaS). Несмотря на запреты на некоторых подпольных форумах, например, Exploit и XSS, создатель данного ПО, известный как «kingcrete», активно продвигает его в Telegram, Jabber и TOX.
ПО продаётся по подписке за $250 в месяц или $550 за 90 дней, что даёт злоумышленникам доступ к конфиденциальной информации: системным данным, учётным записям, криптокошелькам, паролям браузеров, куки и другим данным, находящимся на заражённых устройствах. При этом автор Rhadamanthys активно усложняет анализ своего ПО в песочнице и других исследовательских средах.
Новая версия 0.7.0, выпущенная в июне этого года, существенно улучшена по сравнению с версией 0.6.0, вышедшей в феврале. По данным Recorded Future, автором было полностью переписано клиентское и серверное ПО, улучшена стабильность работы, добавлены 30 алгоритмов взлома криптокошельков, функции распознавания графики и PDF-документов, а также расширены возможности извлечения текста для обнаружения множества сохранённых фраз.
Помимо этого, внедрена возможность установки MSI-файлов для обхода средств безопасности на устройстве жертвы. Rhadamanthys также поддерживает плагин-систему, которая расширяет функционал за счёт возможностей кейлоггера, криптоклиппера и обратного прокси.
Специалисты отмечают, что Rhadamanthys Stealer пользуется популярностью у киберпреступников благодаря своему быстрому развитию и инновационным функциям. Среди других схожих инфостилеров, таких как Lumma, Meduza, StealC, Vidar и WhiteSnake, также наблюдается стремительное обновление и внедрение новых функций, например, сбор куки из браузера Chrome и обход недавно введённых механизмов безопасности.
