{"id":1384202,"date":"2024-10-01T17:28:53","date_gmt":"2024-10-01T17:28:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/rhadamanthys-stealer-impulsado-por-ia-apunta-a-carteras-criptograficas-con-reconocimiento-de-imagenes\/"},"modified":"2024-10-01T17:28:58","modified_gmt":"2024-10-01T17:28:58","slug":"rhadamanthys-stealer-impulsado-por-ia-apunta-a-carteras-criptograficas-con-reconocimiento-de-imagenes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/rhadamanthys-stealer-impulsado-por-ia-apunta-a-carteras-criptograficas-con-reconocimiento-de-imagenes\/","title":{"rendered":"Rhadamanthys Stealer, impulsado por IA, apunta a carteras criptogr\u00e1ficas con reconocimiento de im\u00e1genes"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los actores de amenazas detr\u00e1s del ladr\u00f3n de informaci\u00f3n Rhadamanthys han agregado nuevas funciones avanzadas al malware, incluido el uso de inteligencia artificial (IA) para el reconocimiento \u00f3ptico de caracteres (OCR) como parte de lo que se llama “reconocimiento de im\u00e1genes de frases iniciales”.<\/p>\n

“Esto permite a Rhadamanthys extraer frases iniciales de billeteras de criptomonedas a partir de im\u00e1genes, lo que la convierte en una amenaza muy potente para cualquiera que negocie con criptomonedas”, Insikt Group de Recorded Future. dicho<\/a> en un an\u00e1lisis de la versi\u00f3n 0.7.0 del malware.<\/p>\n

“El malware puede reconocer im\u00e1genes de frases iniciales en el lado del cliente y enviarlas de vuelta al servidor de comando y control (C2) para su posterior explotaci\u00f3n”.<\/p>\n

Descubierto por primera vez en la naturaleza en septiembre de 2022, Rhadamanthys se ha convertido en uno de los ladrones de informaci\u00f3n m\u00e1s potentes que se anuncian bajo el modelo de malware como servicio (MaaS), junto con Lumma y otros.<\/p>\n

El malware contin\u00faa teniendo una presencia activa a pesar de sufrir prohibiciones en foros clandestinos como Exploit y XSS por apuntar a entidades dentro de Rusia y la ex Uni\u00f3n Sovi\u00e9tica, y su desarrollador, que se conoce con el nombre de “kingcrete” (tambi\u00e9n conocido como “kingcrete2022”), encuentra formas de comercializar las nuevas versiones en Telegram, Jabber y TOX.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La empresa de ciberseguridad, que se convertir\u00e1 en adquirido por Mastercard<\/a> por 2.650 millones de d\u00f3lares, dijo que el ladr\u00f3n se vende mediante suscripci\u00f3n por 250 d\u00f3lares al mes (o 550 d\u00f3lares por 90 d\u00edas), lo que permite a sus clientes recopilar una amplia gama de informaci\u00f3n confidencial de hosts comprometidos.<\/p>\n

Esto incluye informaci\u00f3n del sistema, credenciales, billeteras de criptomonedas, contrase\u00f1as del navegador, cookies y datos almacenados en varias aplicaciones, al mismo tiempo que se toman medidas para complicar los esfuerzos de an\u00e1lisis dentro de entornos aislados.<\/p>\n

La versi\u00f3n 0.7.0, la versi\u00f3n m\u00e1s reciente de Rhadamanthys lanzada en junio de 2024, mejora significativamente su predecesora 0.6.0, que sali\u00f3 en febrero de 2024.<\/p>\n

Comprende una “reescritura completa de los marcos del lado del cliente y del lado del servidor, mejorando la estabilidad de ejecuci\u00f3n del programa”, se\u00f1al\u00f3 Recorded Future. “Adem\u00e1s, se agregaron 30 algoritmos para descifrar billeteras, gr\u00e1ficos con tecnolog\u00eda de inteligencia artificial y reconocimiento de PDF para extracci\u00f3n de frases. Se mejor\u00f3 la capacidad de extracci\u00f3n de texto para identificar m\u00faltiples frases guardadas”.<\/p>\n

Tambi\u00e9n se incluye una funci\u00f3n que permite a los actores de amenazas ejecutar e instalar archivos del instalador de software de Microsoft (MSI) en un aparente esfuerzo por evadir la detecci\u00f3n de las soluciones de seguridad instaladas en el host. Adem\u00e1s, contiene una configuraci\u00f3n para evitar la reejecuci\u00f3n dentro de un per\u00edodo de tiempo configurable.<\/p>\n\n\n\n\n
\"Ladr\u00f3n<\/a><\/td>\n<\/tr>\n
Cadena de infecci\u00f3n de alto nivel de Rhadamanthys<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Un aspecto digno de menci\u00f3n de Rhadamanthys es su sistema de complementos que puede aumentar sus capacidades con funciones de registrador de teclas, recortador de criptomonedas y proxy inverso.<\/p>\n

“Rhadamanthys es una opci\u00f3n popular para los ciberdelincuentes”, dijo Recorded Future. “Junto con su r\u00e1pido desarrollo y sus nuevas caracter\u00edsticas innovadoras, es una amenaza formidable de la que todas las organizaciones deber\u00edan ser conscientes”.<\/p>\n

El desarrollo se produce cuando Mandiant, propiedad de Google, detall\u00f3 el uso que hace Lumma Stealer de la direcci\u00f3n indirecta de flujo de control personalizada para manipular la ejecuci\u00f3n del malware.<\/p>\n

“Esta t\u00e9cnica frustra todas las herramientas de an\u00e1lisis binario, incluidas IDA Pro y Ghidra, lo que dificulta significativamente no s\u00f3lo el proceso de ingenier\u00eda inversa, sino tambi\u00e9n las herramientas de automatizaci\u00f3n dise\u00f1adas para capturar artefactos de ejecuci\u00f3n y generar detecciones”, investigadores Nino Isakovic y Chuong Dong dicho<\/a>.<\/p>\n

Tambi\u00e9n se han encontrado Rhadamanthys y Lumma, junto con otras familias de malware ladr\u00f3n como Meduza, StealC, Vidar y WhiteSnake. lanzando actualizaciones<\/a> en las \u00faltimas semanas para recopilar cookies del navegador web Chrome, evitando efectivamente los mecanismos de seguridad recientemente introducidos, como el cifrado vinculado a aplicaciones.<\/p>\n

Adem\u00e1s de eso, los desarrolladores detr\u00e1s de WhiteSnake Stealer han agregado<\/a> la capacidad de extraer c\u00f3digos CVC de tarjetas de cr\u00e9dito almacenadas en Chrome, lo que destaca la naturaleza en constante evoluci\u00f3n del panorama del malware.<\/p>\n

\"Ladr\u00f3n<\/a><\/div>\n

Eso no es todo. Los investigadores tienen identificado<\/a> una campa\u00f1a de malware de Amadey que implementa un script AutoIt, que luego inicia el navegador de la v\u00edctima en modo quiosco<\/a> para obligarlos a ingresar las credenciales de su cuenta de Google. La informaci\u00f3n de inicio de sesi\u00f3n se almacena en el almac\u00e9n de credenciales del navegador en el disco para su posterior recolecci\u00f3n por parte de ladrones como StealC.<\/p>\n

Estas actualizaciones continuas tambi\u00e9n siguen al descubrimiento de nuevos campa\u00f1as de descargas drive-by<\/a> que generan ladrones de informaci\u00f3n al enga\u00f1ar a los usuarios para que copien y ejecuten manualmente c\u00f3digo de PowerShell para demostrar que son humanos mediante una p\u00e1gina enga\u00f1osa de verificaci\u00f3n CAPTCHA.<\/p>\n

Como parte de la campa\u00f1a, los usuarios que buscan servicios de transmisi\u00f3n de video en Google son redirigidos a una URL maliciosa que los insta a presionar el bot\u00f3n de Windows + R para iniciar el men\u00fa Ejecutar, pegar un comando PowerShell codificado y ejecutarlo, seg\u00fan NubeSEK<\/a>, eSentire<\/a>, Unidad 42 de Palo Alto Networks<\/a>y Trabajos seguros<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

El ataque, que en \u00faltima instancia resulta en ladrones como Lumma, StealC y Vidar, es una variante de la campa\u00f1a ClickFix documentada en los \u00faltimos meses por ReliaQuest, Proofpoint, McAfee Labs y Trellix. <\/p>\n

“Este novedoso vector de ataque plantea un riesgo significativo, ya que elude los controles de seguridad del navegador al abrir un s\u00edmbolo del sistema”, dijo Secureworks. “Luego se indica a la v\u00edctima que ejecute c\u00f3digo no autorizado directamente en su host”.<\/p>\n

Tambi\u00e9n se han observado campa\u00f1as de phishing y publicidad maliciosa que distribuyen Atomic macOS Stealer (Am\u00f3s<\/a>), Rilide<\/a>as\u00ed como una nueva variante de un malware ladr\u00f3n llamado Registrador de teclas serpiente<\/a> (tambi\u00e9n conocido como 404 Keylogger o KrakenKeylogger).<\/p>\n

Adem\u00e1s, los ladrones de informaci\u00f3n como Atomic, Rhadamanthys y StealC han estado en el centro de m\u00e1s de 30 campa\u00f1as de estafa orquestadas por una banda de ciberdelincuentes conocida como Marko Polo para llevar a cabo el robo de criptomonedas en todas las plataformas haci\u00e9ndose pasar por marcas leg\u00edtimas en juegos en l\u00ednea, reuniones virtuales y software de productividad. y criptomoneda.<\/p>\n

“Marko Polo se dirige principalmente a jugadores, personas influyentes en criptomonedas y desarrolladores de software a trav\u00e9s de phishing en las redes sociales, destacando su enfoque en las v\u00edctimas conocedoras de la tecnolog\u00eda”, Recorded Future dicho<\/a>y agreg\u00f3 que “probablemente decenas de miles de dispositivos se han visto comprometidos en todo el mundo”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n