Rhadamanthys Stealer: Ancaman Serius dengan AI



Rhadamanthys Stealer: Ancaman Serius dengan AI - credit for: thehackernews - pibitek.biz - Google

credit for: thehackernews


336-280
TL;DR
  • Rhadamanthys, software berbahasa mencuri informasi, telah meningkatkan kemampuan dengan penambahan fitur AI.
  • Software berbahasa ini dapat mengenali gambar frasa kunci dompet kripto dan mengirimkannya ke server kontrol.
  • Penggunaan AI dalam software berbahasa meningkatkan ancaman siber secara signifikan.

pibitek.biz -Rhadamanthys, sebuah software berbahaya yang diciptakan untuk mencuri informasi, telah mengalami peningkatan kemampuan yang signifikan dengan penambahan fitur AI untuk pengenalan karakter optik (OCR). Kemampuan ini, yang dikenal sebagai "Seed Phrase Image Recognition", memungkinkan Rhadamanthys untuk mengambil frasa kunci dompet kripto dari gambar, menjadikannya ancaman yang sangat berbahaya bagi pengguna mata uang digital. Insikt Group, bagian dari Recorded Future, telah mencatat bahwa Rhadamanthys versi 0.7.0 memiliki kemampuan untuk mengenali gambar frasa kunci di perangkat pengguna dan mengirimkannya ke server kontrol dan komando (C2) untuk dieksploitasi lebih lanjut.

Rhadamanthys pertama kali terdeteksi pada September 2022 dan sejak itu menjadi salah satu pencuri informasi paling berbahaya yang ditawarkan sebagai software berbahaya sebagai layanan (MaaS), bersama dengan Lumma dan software lain. Meskipun Rhadamanthys sempat dilarang dari forum bawah tanah seperti Exploit dan XSS karena menargetkan entitas di Rusia dan negara-negara bekas Uni Soviet, pengembangnya, yang dikenal sebagai "kingcrete" (alias "kingcrete2022"), berhasil memasarkan versi terbaru melalui platform seperti Telegram, Jabber, dan TOX. Recorded Future, perusahaan keamanan siber yang akan diakuisisi oleh Mastercard senilai $2,65 miliar, mengumumkan bahwa Rhadamanthys dijual dengan sistem berlangganan seharga $250 per bulan (atau $550 untuk 90 hari).

Langganan ini memberikan akses kepada para pelaku kejahatan siber untuk mencuri berbagai informasi sensitif dari perangkat yang terinfeksi. Rhadamanthys memiliki kemampuan untuk mencuri informasi sistem, kredensial login, dompet kripto, kata sandi browser, cookie, dan data yang disimpan di berbagai aplikasi. Selain itu, Rhadamanthys juga dirancang untuk mengaburkan jejaknya dalam lingkungan yang disandbox, sehingga lebih sulit untuk dideteksi dan dianalisis oleh para peneliti keamanan siber. Versi 0.7.0, yang dirilis pada Juni 2024, merupakan peningkatan signifikan dari versi sebelumnya, 0.6.0, yang dirilis pada Februari 2024.

Pembaruan ini mencakup penulisan ulang lengkap kerangka kerja sisi klien dan sisi server, meningkatkan stabilitas eksekusi program. Versi terbaru juga menambahkan 30 algoritma pemecah dompet, grafik berbasis AI, dan pengenalan PDF untuk ekstraksi frasa. Kemampuan ekstraksi teks juga ditingkatkan untuk mengidentifikasi berbagai frasa kunci yang tersimpan. Rhadamanthys versi 0.7.0 juga dilengkapi dengan kemampuan untuk menjalankan dan menginstal file Microsoft Software Installer (MSI), diduga untuk menghindari deteksi oleh solusi keamanan yang terpasang di perangkat pengguna.

Selain itu, Rhadamanthys memiliki pengaturan untuk mencegah eksekusi ulang dalam jangka waktu tertentu. Salah satu fitur penting dari Rhadamanthys adalah sistem plugin-nya yang dapat memperluas kemampuannya dengan menambahkan fungsi keylogger, clipper kripto, dan proxy terbalik. Kemampuan ini memungkinkan Rhadamanthys untuk mencuri informasi yang lebih banyak dan secara lebih rahasia. Rhadamanthys telah menjadi pilihan populer bagi para pelaku kejahatan siber karena kemampuannya yang terus berkembang dan fitur-fitur inovatifnya.

Perkembangan Rhadamanthys menunjukkan betapa canggihnya ancaman siber saat ini. Para organisasi perlu menyadari ancaman ini dan mengambil langkah-langkah untuk melindungi diri mereka. Sementara itu, Mandiant, perusahaan keamanan siber milik Google, mengumumkan bahwa Lumma Stealer menggunakan kontrol aliran yang disesuaikan untuk memanipulasi cara malware dijalankan. Teknik ini mengacaukan semua alat analisis biner, termasuk IDA Pro dan Ghidra, yang membuat proses reverse engineering dan otomatisasi untuk mendeteksi serangan menjadi lebih sulit.

Selain Rhadamanthys dan Lumma, keluarga software berbahaya lain, seperti Meduza, StealC, Vidar, dan WhiteSnake, juga telah merilis pembaruan dalam beberapa minggu terakhir untuk mencuri cookie dari browser web Chrome. Pembaruan ini memungkinkan para pelaku kejahatan siber untuk melewati mekanisme keamanan baru, seperti enkripsi berbasis aplikasi. Pengembang WhiteSnake Stealer juga telah menambahkan kemampuan untuk mengambil kode CVC dari kartu kredit yang disimpan di Chrome, yang menunjukkan betapa cepatnya lanskap malware berkembang.

Para pelaku kejahatan siber terus mencari cara baru untuk mengelabui mekanisme keamanan dan mencuri informasi yang sensitif. Para peneliti keamanan siber juga telah menemukan kampanye malware Amadey yang menggunakan skrip AutoIt untuk membuka browser korban dalam mode kios. Mode kios ini memaksa pengguna untuk memasukkan kredensial akun Google mereka, yang kemudian disimpan di penyimpanan kredensial browser di disk, yang selanjutnya dapat diakses oleh software berbahaya seperti StealC. Kampanye drive-by download baru juga telah teridentifikasi yang menggunakan trik untuk mengirimkan pencuri informasi dengan mengarahkan pengguna untuk menyalin dan menjalankan kode PowerShell secara manual.

Pengguna yang mencari layanan streaming video di Google mungkin dialihkan ke URL berbahaya yang meminta mereka untuk menekan tombol Windows R, menempelkan perintah PowerShell terenkripsi, dan menjalankannya. Serangan ini, yang mengirimkan software berbahaya seperti Lumma, StealC, dan Vidar, adalah varian dari kampanye ClickFix yang didokumentasikan dalam beberapa bulan terakhir oleh ReliaQuest, Proofpoint, McAfee Labs, dan Trellix. Serangan ini menggunakan cara yang unik untuk melewati kontrol keamanan browser dengan membuka prompt perintah dan meminta pengguna untuk menjalankan kode berbahaya.

Kampanye phishing dan malvertising juga telah teridentifikasi yang mengirimkan Atomic macOS Stealer (AMOS), Rilide, dan varian baru software berbahaya yang dikenal sebagai Snake Keylogger (alias 404 Keylogger atau KrakenKeylogger). Software berbahaya seperti Atomic, Rhadamanthys, dan StealC juga merupakan alat utama dalam lebih dari 30 kampanye penipuan yang dilakukan oleh kelompok kejahatan siber yang dikenal sebagai Marko Polo. Marko Polo menargetkan para gamer, influencer kripto, dan pengembang software dengan menggunakan spear-phishing di media sosial, yang menunjukkan bahwa mereka berfokus pada korban yang paham teknologi.

Marko Polo telah berkompromi puluhan ribu perangkat di seluruh dunia dengan meniru merek yang sah dalam game online, pertemuan virtual, software produktivitas, dan mata uang digital. Keadaan ini menunjukkan bagaimana para pelaku kejahatan siber terus mencari cara untuk mengeksploitasi teknologi baru dan memanfaatkan kelemahan keamanan yang ada. Perkembangan ini mengharuskan para organisasi untuk meningkatkan kesadaran mereka terhadap ancaman siber dan mengambil langkah-langkah proaktif untuk melindungi diri dari serangan yang canggih.

Para pelaku kejahatan siber tidak hanya menjadi lebih terampil dalam mengelabui mekanisme keamanan, tetapi mereka juga memanfaatkan kegemaran publik pada platform online dan tren teknologi terbaru untuk menargetkan korban yang tidak menaruh curiga. Penggunaan AI dalam software berbahaya seperti Rhadamanthys telah meningkatkan ancaman siber secara signifikan. Para pelaku kejahatan siber kini memiliki alat yang lebih canggih dan kuat untuk mencuri informasi yang sensitif, yang membuat tantangan untuk melindungi diri dari serangan menjadi semakin berat.

Para organisasi dan pengguna individu perlu meningkatkan kesadaran dan kewaspadaan mereka terhadap ancaman siber yang terus berkembang. Mereka perlu mempertimbangkan untuk menggunakan solusi keamanan yang komprehensif, termasuk software antivirus dan anti-malware, dan berhati-hati saat membuka email, mengklik tautan, dan mengunduh file dari sumber yang tidak dikenal. Perkembangan software berbahaya seperti Rhadamanthys menyoroti pentingnya bagi para peneliti keamanan siber dan organisasi untuk terus mempelajari dan beradaptasi dengan tren ancaman siber yang terus berkembang.

Mereka perlu bekerja sama untuk berbagi informasi tentang ancaman baru dan mengembangkan solusi keamanan yang lebih efektif. Penggunaan AI dalam software berbahaya juga menimbulkan kekhawatiran tentang potensi ancaman siber di masa depan. AI memiliki kemampuan untuk membuat software berbahaya lebih canggih, tersembunyi, dan sulit dideteksi. Ini akan mempersulit upaya untuk melindungi diri dari serangan, dan akan membutuhkan investasi yang lebih besar dalam penelitian dan pengembangan solusi keamanan yang lebih canggih.

Meskipun ancaman siber terus meningkat, masih ada langkah-langkah yang dapat diambil untuk mengurangi risiko. Penggunaan solusi keamanan yang efektif, meningkatkan kesadaran terhadap ancaman siber, dan berhati-hati saat berinteraksi dengan internet dapat membantu melindungi diri dari serangan.