Анализ Rhadamanthys Stealer: новые методы фишинга и скрытого исполнения
Анализ подозрительного домена ypp-studio.com выявил новые методы фишинговых атак
Недавнее исследование подтвердило, что домен hxxps://ypp-studio.com используется злоумышленниками для организации сложных фишинговых кампаний. В основе атаки лежит применение PowerShell с несколькими параметрами, позволяющими скрытно и эффективно запускать вредоносные скрипты без создания файлов на диске.
Техника скрытого выполнения PowerShell-скриптов
Для обхода защиты и минимизации шансов обнаружения вредоносное ПО использует следующие ключевые параметры PowerShell:
- -w hidden — скрывает окно PowerShell;
- -ep bypass — обходит политики выполнения скриптов;
- -nop — отключает загрузку профилей пользователей для более быстрого запуска.
Особенно опасной является загрузка и выполнение вредоносного кода в памяти с удаленного URL — hxxps://ypp-studio.com/update.txt — с помощью командлета Invoke-Expression. Такой метод характерен для атак «без использования файлов» (fileless attack), что значительно затрудняет их обнаружение традиционными антивирусными решениями.
Rhadamanthys Stealer: модульный инфокрад с новыми возможностями
Анализ обнаружил заметные изменения в механизме распространения Rhadamanthys Stealer — инфокрада, относящегося к категории вредоносного ПО как услуги (MaaS). С момента выявления в 2022 году вредоносная программа эволюционировала, адаптируя дроппер под новый URL загрузки — http://62.60.226.74/PTRFHDGS.msi.
Rhadamanthys Stealer обладает следующими ключевыми характеристиками:
- Маскировка под легальное программное обеспечение для снижения подозрений;
- Применение расширенных методов уклонения от обнаружения;
- Кража широкого спектра информации: учетные данные, данные браузера, информация о криптовалютных кошельках;
- Интеграция искусственного интеллекта с версии 0.7.0 для извлечения seed-фраз криптовалюты из изображений;
- Множественные механизмы антианализа: проверка наличия отладчиков и sandbox-сред;
- Ведение слежения за процессами для определения контекста выполнения;
- Скрытное взаимодействие с командным сервером управления (C2) по прямым IP-соединениям (сервер C2 — 193.109.85.136), избегая DNS-запросов.
Особенности коммуникации и сбора данных
Rhadamanthys Stealer не только крадет учетные данные и конфиденциальную информацию, но и активно делает скриншоты экрана жертвы, поддерживает обмен сообщениями с C2-сервером, используя прямое IP-соединение для минимизации следов.
Для доставки вредоносного ПО злоумышленники прибегают к методам социальной инженерии, включая:
- Фишинговые рассылки с доменами, содержащими опечатки (typosquatting);
- Вредоносные вложения в электронных письмах;
- Взаимодействие с пользователем через механизмы обхода CAPTCHA, например ClickFix Captcha.
Заключение и рекомендации по безопасности
Развитие Rhadamanthys Stealer демонстрирует, насколько изощренными становятся современные методы распространения и эксплуатации вредоносного ПО. Появление искусственного интеллекта в инструментарии киберпреступников подчеркивает необходимость постоянного повышения уровня кибербезопасности.
Эксперты рекомендуют:
- Повышать осведомленность пользователей о рисках фишинга и методах социальной инженерии;
- Внедрять многоуровневые протоколы безопасности и систематически обновлять средства защиты;
- Фокусироваться на мониторинге подозрительного исходящего сетевого трафика, особенно безфайловых операций;
- Регулярно проверять системы на признаки выполнения скриптов PowerShell с параметрами, характерными для злоумышленников.
Разведывательная работа и оперативное реагирование остаются ключевыми элементами в борьбе с такими сложными угрозами, как Rhadamanthys Stealer и связанные с ним фишинговые кампании.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
