spot_img
16.4 C
São Paulo
spot_img
HomeTop Global NewsAIRhadamanthys Stealer: 7 Táticas de Phishing Para Evitar

Rhadamanthys Stealer: 7 Táticas de Phishing Para Evitar

Espaço de trabalho em cibersegurança mostrando um cenário de phishing
Um ambiente de ameaça cibernética tensa ilustrando uma campanha de phishing visando vítimas por meio de violação de direitos autorais.
Alegon
By Alegon

Uma campanha de phishing em andamento está utilizando temas relacionados a infrações de direitos autorais para enganar as vítimas e levá-las a baixar uma versão mais recente do stealer de informações Rhadamanthys desde julho de 2024.

A empresa de cibersegurança Check Point está monitorando esta ampla campanha sob o nome CopyRh(ight)adamantys. As regiões alvo incluem os Estados Unidos, Europa, Leste Asiático e América do Sul.

“A campanha se apresenta como dezenas de empresas, enquanto cada e-mail é enviado para uma entidade específica com uma conta diferente do Gmail, adaptando a empresa que se faz passar e a linguagem por entidade alvo,” disse a empresa em uma análise técnica. “Quase 70% das empresas que se fazem passar são dos setores de Entretenimento/Mídia e Tecnologia/Software.”

Os ataques se destacam pela implantação da versão 0.7 do stealer Rhadamanthys, que, como detalhado pelo Insikt Group da Recorded Future no mês passado, incorpora inteligência artificial (IA) para reconhecimento óptico de caracteres (OCR).

A empresa israelense afirmou que a atividade está associada a uma campanha que a Cisco Talos divulgou na semana passada, que tinha como alvo usuários de contas comerciais e de anúncios do Facebook em Taiwan, com o objetivo de entregar o malware Lumma ou Rhadamanthys stealer.

As cadeias de ataque são caracterizadas pela utilização de táticas de spear-phishing, as quais envolvem o envio de mensagens de e-mail alegando supostas violações de direitos autorais, fingindo ser empresas bem conhecidas.

Esses e-mails são enviados de contas do Gmail e simulam ser de representantes legais das empresas que se fazem passar. O conteúdo da mensagem acusa os destinatários de usarem indevidamente a marca nas redes sociais e solicita que removam as imagens e vídeos em questão.

“As instruções para remoção supostamente estão em um arquivo protegido por senha. No entanto, o arquivo anexado é um link de download para appspot.com, vinculado à conta do Gmail, que redireciona o usuário para Dropbox ou Discord para baixar um arquivo compactado protegido por senha (com a senha fornecida no e-mail),” disse a Check Point.

O arquivo RAR contém três componentes: um executável legítimo vulnerável a DLL side-loading, a DLL maliciosa contendo a carga do stealer e um documento de despiste. Quando o binário é executado, ele carrega a DLL, que então prepara o terreno para a implantação do Rhadamanthys.

A Check Point, que atribui a campanha a um provável grupo de cibercriminosos, afirmou que é possível que os agentes de ameaça tenham utilizado ferramentas de IA, dada a escala da campanha e a variedade de iscas e e-mails de remetentes.

“O amplo e indiscriminado direcionamento da campanha a organizações em várias regiões sugere que foi orquestrado por um grupo de cibercriminosos motivados financeiramente, em vez de um ator estatal,” afirmou. Seu alcance global, táticas de phishing automatizadas e diversas iscas demonstram como os atacantes evoluem continuamente para melhorar suas taxas de sucesso.

Novo Malware SteelFox Explora Driver Vulnerável

As descobertas surgem enquanto a Kaspersky revela um novo “conjunto de crimeware completo” chamado SteelFox, que está sendo propagado por meio de postagens em fóruns, rastreadores de torrent e blogs, passando-se por utilitários legítimos como Foxit PDF Editor, JetBrains e AutoCAD.

A campanha, que remonta a fevereiro de 2023, afetou vítimas ao redor do mundo, especialmente aquelas localizadas no Brasil, China, Rússia, México, Emirados Árabes Unidos, Egito, Argélia, Vietnã, Índia e Sri Lanka. Não foi atribuída a nenhum ator ou grupo de ameaça conhecido.

“Entregue por meio de cadeias de execução sofisticadas, incluindo shellcoding, essa ameaça abusa de serviços e drivers do Windows,” disse o pesquisador de segurança Kirill Korchemny disse. “Ela também usa malware stealer para extrair os dados do cartão de crédito da vítima, bem como detalhes sobre o dispositivo infectado.”

O ponto de partida é um aplicativo dropper que se passa por versões piratas de softwares populares, que, quando executados, solicitam acesso de administrador e liberam um carregador para a próxima etapa que, por sua vez, estabelece persistência e inicia a DLL do SteelFox.

O acesso administrativo é subsequentemente abusado para criar um serviço que executa uma versão antiga do WinRing0.sys, uma biblioteca de acesso a hardware para Windows que é vulnerável a CVE-2020-14979 e CVE-2021-41285, permitindo assim que o agente da ameaça obtenha privilégios NT\SYSTEM.

“Esse driver também é um componente do minerador XMRig, então é utilizado para fins de mineração,” observou Korchemny. “Após inicializar o driver, a amostra lança o minerador. Isso representa um executável modificado do XMRig com preenchimentos de código lixo. Ele se conecta a um pool de mineração com credenciais codificadas.”

O minerador, por sua vez, é baixado de um repositório do GitHub, com o malware também iniciando contato com um servidor remoto por meio de TLS versão 1.3 para exfiltrar dados sensíveis de navegadores, como cookies, dados de cartões de crédito, histórico de navegação e lugares visitados, metadados do sistema, softwares instalados e fuso horário, entre outros.

“O uso altamente sofisticado de C++ moderno combinado com bibliotecas externas confere a esse malware um poder formidável,” disse a Kaspersky. “O uso de TLS v1.3 e SSL pinning garante comunicação segura e coleta de dados sensíveis.”

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que publicamos.

Imagem representando as táticas de spear-phishing com ênfase em e-mails maliciosos e segurança cibernética.

Análise das Táticas de Spear-Phishing

O spear-phishing representa uma forma avançada de phishing onde as comunicações são individualizadas e direcionadas a alvos específicos. Esta técnica aproveita a personalização para enganar as vítimas, fazendo com que e-mails maliciosos pareçam genuínos. A crescente sofisticação dos cibercriminosos, especialmente com o uso do Rhadamanthys Stealer na phishing campaign CopyRh(ight)adamantys, pode ser atribuída a estratégias inovadoras que visam as fraquezas e a confiança do usuário.

Os e-mails elaborados em campanhas de spear-phishing são formulados para parecerem provenientes de fontes confiáveis, frequentemente utilizando nomes de funcionários das empresas ou figuras conhecidas dentro do setor de atuação da vítima. Com o objetivo de induzir à ação, os ataques incluem solicitações urgentemente formuladas que criam um senso de obrigação ou medo, manipulando o estado emocional da vítima e pressionando-a a agir sem pensar.

Além disso, o uso de técnicas de inteligência artificial traz um novo nível de complexidade e eficácia aos ataques. Por meio da análise de dados coletados, os cibercriminosos podem personalizar suas mensagens de uma maneira que ressoe de forma mais eficaz com os indivíduos visados, aumentando as taxas de sucesso em seus roubos de dados e execução do malware phishing.

Técnicas de Personalização

A personalização é um dos pilares centrais das táticas de spear-phishing. Os cibercriminosos utilizam informações obtidas das redes sociais e registros públicos para compor e-mails que falam diretamente sobre interesses, projetos ou cargos atuais das vítimas. Como resultado, é mais provável que a mensagem seja aberta e considerada legítima. Por exemplo, um e-mail pode mencionar uma recente apresentação em que a vítima participou ou um evento do setor em que está envolvida.

Esta técnica é especialmente eficaz na criação de uma conexão fictícia entre o atacante e a vítima. Ao referenciar a informação específica, o atacante finge um nível de familiaridade, elevando a probabilidade de que a ação solicitada, como abrir um link malicioso ou baixar um arquivo, seja realizada.

Outra estratégia implementada na personalização de e-mails é a utilização de domínios de e-mail falsificados. Esses domínios muitas vezes são configuração para se assemelhar a e-mails de remetentes legítimos, com substituições sutis nas letras. Por exemplo, a substituição de uma letra por um número é uma manobra comum que pode facilmente passar despercebida.

Inteligência Artificial em Ataques de Spear-Phishing

A inclusão de inteligência artificial (IA) nas operações de spear-phishing tem revolucionado o campo da cibercriminalidade. Com algoritmos de IA, os cibercriminosos podem segmentar vulnerabilidades e criar mensagens personalizadas em grande escala. Esse processo começa com a coleta de dados em larga escala sobre potenciais alvos, que vai desde informações de redes sociais até interações em plataformas de comunicação.

Essas tecnologias de inteligência artificial não só permitem a personalização de conteúdo, como também ajudam a desviar a detecção de filtros de segurança e sistemas de e-mail avançados. Isso torna a identificação de e-mails maliciosos muito mais difícil, já que os textos gerados por IA podem imitar a comunicação natural com notável precisão.

O uso de algoritmos de machine learning para aprimorar as características das mensagens aumenta a taxa de sucesso dos ataques. Por exemplo, analisando respostas a e-mails anteriores, esses sistemas podem ajustar sua abordagem, aumentando a eficiência do ataque e contribuindo para o crescimento das campanhas de phishing globais.

Estratégias Comprovadas de Spear-Phishing

A criação de uma falsa sensação de urgência é uma das estratégias mais frequentemente utilizadas. Ao instigar um senso de imediata ação, os atacantes fazem com que suas vítimas se sintam pressionadas a abrir e-mails e clicar em links maliciosos sem o devido cuidado, resultando em consequências desastrosas.

Além disso, os cibercriminosos costumam ameaçar penalidades, como o encerramento de contas, ou a perda de oportunidades valiosas para instigar uma reação apressada nas vítimas. Essas ações manipulativas, combinadas com práticas de abuso emocional, são fundamentais para o sucesso de muitos ataques de spear-phishing.

Os cibercriminosos também exploram domínios de e-mail falsificados, utilizando variações sutis para criar ameaças que parecem legítimas. Essas táticas fomentam a dificuldade de autenticação de e-mails legítimos e vêm se tornado cada vez mais sofisticadas, resultando em um aumento significativo nos dados comprometidos durante essas fraudes.

Evolução das Táticas de Spear-Phishing

Com a evolução da tecnologia, as táticas de spear-phishing se tornaram mais adaptáveis. A facilidade de acesso a informações por meio de canais como redes sociais e a internet permite aos cibercriminosos moldar suas mensagens com base em eventos atuais, tendências de mercado ou notícias relevantes, estabelecendo conexões mais convincentes com as vítimas.

A automatização é outra tendência crescente nas táticas de spear-phishing. O uso de programas e scripts para enviar mensagens em massa aprimora o alcance dos ataques, permitindo que os cibercriminosos atinjam uma quantidade significativamente maior de alvos em um período reduzido. A escalabilidade é uma das principais características dessa evolução, tornando os ataques de spear-phishing uma preocupação prevalente para a segurança cibernética global.

As plataformas de comunicação, como aplicativos de mensagens e redes sociais, estão se tornando meios cada vez mais comuns para disseminar mensagens maliciosas. Isso abre um leque maior de oportunidades para os atacantes alcançarem suas vítimas em diferentes frentes, complicando ainda mais a dinâmica de defesa contra tais ameaças.

Boas Práticas para Proteção Contra Spear-Phishing

Proteger-se contra tais ameaças exige um esforço conjunto entre a conscientização individual e a implementação de tecnologias de segurança adequadas. A educação dos funcionários é um passo vital, pois um colaborador bem informado pode reconhecer sinais de um possível ataque e evitar a execução de ações prejudiciais. Treinamentos sobre identificação de e-mails fraudulentos e phishing são cruciais para criar uma cultura de segurança dentro das organizações.

A implementação de tecnologias avançadas de segurança, como sistemas de proteção contra ameaças (ATP) e filtros de spam, é outra medida importante. Estas tecnologias podem identificar e bloquear tentativas maliciosas antes que alcancem os alvos, minimizando os danos potenciais.

Além disso, a verificação independente de mensagens suspeitas pode ajudar a confirmar a legitimidade das comunicações, evitando assim que os usuários se tornem vítimas da campanha de phishing CopyRh(ight)adamantys e outras similares. Reforçar a ideia de se comunicar através de canais verificados sempre que houver dúvida pode salvar a situação em muitos casos.

Relatos e Dinâmica de Notificação

A criação de um ambiente em que os funcionários se sintam confortáveis para reportar atividades suspeitas é essencial para o combate ao spear-phishing. Declarar e identificar e-mails suspeitos deve ser parte da cultura organizacional, garantindo que essa comunicação seja contínua e aberta.

As empresas também devem utilizar sistemas de relatórios que integram essas notificações às operações de segurança, permitindo uma resposta rápida a quaisquer incidentes. Aumentar a consciência da equipe sobre a importância do relato proativo ajudará a prevenir que ataques semelhantes sejam bem sucedidos no futuro.

Compreender as táticas de spear-phishing e suas evoluções tecnológicas é vital para a proteção de informações sensíveis. Com uma abordagem informada e proativa, as empresas podem mitigar os danos das ameaças destacadas nas campanhas de phishing como a Rhadamanthys Stealer.

Visualização do impacto da IA em ciberataques, com foco na campanha CopyRh(ight)adamantys.

Impacto das Tecnologias de IA em Ciberataques

A campanha de phishing CopyRh(ight)adamantys, identificada pela Check Point Research, ilustra de maneira clara como as tecnologias de Inteligência Artificial (IA) estão sendo utilizadas por grupos de cibercriminosos para ampliar a sofisticação e o alcance de seus ataques. Este artigo vai explorar diversas formas como a IA está transformando o cenário de ameaças cibernéticas, não apenas por meio da automação de ataques, mas também na criação de malwares e na personalização das mensagens de phishing.

Uso de IA na Criação de Malwares e Automação de Ataques

A automação é um componente crucial dos ataques cibernéticos contemporâneos. A campanha CopyRh(ight)adamantys é notável por sua escala e variedade de iscas e e-mails remetentes. Pesquisadores sugerem que os atacantes podem estar utilizando ferramentas de automação aprimoradas por IA para gerenciar o alto volume de contas do Gmail e a diversidade de e-mails necessários para a campanha. Essa automação permite que os cibercriminosos enviem e-mails personalizados e adaptados a cada entidade alvo de forma eficiente, aumentando significativamente as chances de sucesso dos ataques.

A versão 0.7 do malware Rhadamanthys stealer mostra a integração de recursos baseados em IA, como o reconhecimento óptico de caracteres (AI-Powered OCR). Contudo, essa integração é muitas vezes uma combinação de técnicas mais antigas de aprendizado de máquina e ferramentas mais modernas que permitem um gerenciamento mais eficaz nas campanhas. A adoção da IA não só torna o malware mais adaptável, mas também facilita a realização de ataques direcionados, potencializando o impacto dos crimes.

Automação de Ataques

Um aspecto particularmente interessante da automação é como os ataques de phishing podem ser geridos em larga escala. A corrente contínua de e-mails manipulados é uma prova da eficiência dos sistemas automatizados. Esses sistemas não apenas enviam e-mails, mas também monitoram quais campanhas têm melhor desempenho, permitindo que cybercrime groups ajustem suas táticas com base em dados de resposta.

Além disso, muitos dos métodos recentes são baseados em análises de dados que são realizadas rapidamente usando aprendizado de máquina. Isso significa que, à medida que os cibercriminosos coletam mais dados sobre suas vítimas, a maneira como eles formulam suas campanhas se torna continuamente mais eficaz.

Criação de Malwares

A criação de malware por grupos de cibercrime está se tornando cada vez mais sofisticada, em parte devido ao uso de inteligência artificial. A campanha CopyRh(ight)adamantys não é exceção, pois a complexidade e a funcionalidade do Rhadamanthys Stealer indicam uma abordagem de “best-of-both-worlds”, combinando técnicas antigas e novas. A integração de inteligência artificial permite que atacantes melhorem a capacidade de distribuição e evasão de detecções em tempo real.

Em vez de confiar apenas em técnicas de USB flash drive ou engenharia social, esses atacantes estão utilizando IA para infiltrar-se em sistemas de segurança mais complexos, o que leva a um aumento no uso da DLL side-loading para ocultar o malware. Isto é, eles exploram vulnerabilidades em softwares legítimos para carregar códigos maliciosos sem que sejam detectados.

Análise de Dados e Personalização de Ataques

O uso de IA também se estende à análise de dados, com cibercriminosos utilizando informações coletadas para criar e-mails de phishing que se destacam pela sua personalização. Na campanha CopyRh(ight)adamantys, cada e-mail foi enviado de uma conta Gmail diferente para simular autenticidade e criar confiança. Isso demonstra a capacidade dos cibercriminosos de utilizar IA para analisar dados e realizar ataques profundamente personalizados.

Quando um atacante usa dados de redes sociais ou informações disponíveis publicamente sobre uma vítima, a IA pode ajudar a mapear um perfil detalhado. Essa informação pode então ser usada para criar uma mensagem que realmente ressoe com a vítima, aumentando a probabilidade de que esta acredite na falsidade e tome uma ação desejada, como baixar um anexo malicioso.

Implicações Éticas e Mitigação de Riscos

As implicações éticas do uso de IA por criminosos cibernéticos são alarmantes. A capacidade de automatizar e personalizar ataques em larga escala pode resultar em uma explosão de incidentes de segurança cibernética, afetando indivíduos e organizações de maneira indiscriminada. Os filósofos e especialistas em ética estão começando a debater as ramificações da IA quando usada de forma maliciosa, e as questões a serem abordadas incluem a responsabilidade dos desenvolvedores e das plataformas que disseminam essa tecnologia.

A questão da confiança é outro aspecto crítico. O uso de IA para enganar vítimas é particularmente insidioso, explorando a confiança que as pessoas têm em tecnologias avançadas. Como as empresas e os indivíduos podem se proteger em um cenário em que a IA é usada contra eles?

Mitigação de Riscos

Para mitigar os riscos associados a ataques de phishing e malware, as organizações devem priorizar a automação e a IA nas suas estratégias de defesa e cibersegurança. Algumas sugestões incluem:

  • Treinamento e Conscientização: Educando os funcionários sobre as táticas de phishing e os riscos associados ao uso de IA, as organizações podem reduzir a probabilidade de sucesso desses ataques.
  • Ferramentas de Detecção Avançadas: Implementar ferramentas de detecção de ameaças que utilizam IA e aprendizado de máquina para identificar e bloquear e-mails suspeitos e malwares.
  • Segurança de Contas: Fortalecer a segurança das contas de e-mail e outras credenciais, utilizando autenticação de dois fatores e monitorando atividades suspeitas.
  • Atualizações e Patches: Manter todos os sistemas e softwares atualizados com os últimos patches de segurança para evitar a exploração de vulnerabilidades conhecidas.

Essas práticas são fundamentais para uma estratégia robusta de cibersegurança que não apenas defende contra as ameaças existentes, mas também se adapta às novas táticas empregadas por grupos de cibercrime.

Conheça Mais

Se você deseja ficar por dentro das últimas atualizações sobre segurança cibernética, recomenda-se acessar as seguintes fontes:

#RhadamanthysStealer #PhishingCampaign #CybersecurityThreats #AI #alegon #cryptoalch

Previous article
MirrorFace: Como Hackers Alinhados à China Realizam Ataques Cibernéticos
Next article
Vulnerabilidades no IVI da Mazda: 10 Fatos Cruciais

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us