أخبار تقنية

Rhadamanthysالذكاء الاصطناعي: سلاح جديد في ترسانة القراصنة الإلكترونيين

ميزة تسمح للجهات الفاعلة في مجال التهديد بتشغيل وتثبيت ملفات Microsoft Software Installer

أضافت الجهات الفاعلة في مجال سرقة المعلومات Rhadamanthys ميزات متقدمة جديدة إلى البرامج الضارة، بما في ذلك استخدام الذكاء الاصطناعي (AI) للتعرف البصري على الأحرف (OCR) كجزء مما يسمى “التعرف على صور العبارات الأولية”.

“يسمح هذا لـ Rhadamanthys باستخراج عبارات محفظة العملات المشفرة من الصور، مما يجعلها تهديدًا قويًا للغاية لأي شخص يتعامل في العملات المشفرة،” مجموعة Insikt التابعة لشركة Recorded Future. قال في تحليل الإصدار 0.7.0 من البرامج الضارة.

“يمكن للبرامج الضارة التعرف على صور العبارات الأولية على جانب العميل وإرسالها مرة أخرى إلى خادم القيادة والتحكم (C2) لمزيد من الاستغلال.”

تم اكتشاف Rhadamanthys لأول مرة في سبتمبر 2022، وقد برز كواحد من أقوى برامج سرقة المعلومات التي يتم الإعلان عنها ضمن نموذج البرامج الضارة كخدمة (MaaS)، جنبًا إلى جنب مع Lumma وآخرين.

لا تزال البرامج الضارة تتمتع بحضور نشط على الرغم من معاناتها من الحظر في المنتديات السرية مثل Exploit وXSS لاستهداف الكيانات داخل روسيا والاتحاد السوفيتي السابق، حيث يجد مطورها، الذي يطلق عليه اسم “kingcrete” (المعروف أيضًا باسم “kingcrete2022”)، طرقًا لتسويق الإصدارات الجديدة على Telegram و Jabber و TOX.

شركة الأمن السيبراني، والتي من المقرر أن تكون حصلت عليها ماستركارد مقابل 2.65 مليار دولار، قالت الشركة إن السارق يباع على أساس الاشتراك مقابل 250 دولارًا شهريًا (أو 550 دولارًا لمدة 90 يومًا)، مما يسمح لعملائه بجمع مجموعة واسعة من المعلومات الحساسة من المضيفين المخترقين.

يتضمن ذلك معلومات النظام وبيانات الاعتماد ومحافظ العملات المشفرة وكلمات مرور المتصفح وملفات تعريف الارتباط والبيانات المخزنة في تطبيقات مختلفة، مع اتخاذ خطوات في نفس الوقت لتعقيد جهود التحليل داخل بيئات وضع الحماية.

الإصدار 0.7.0، أحدث إصدار من Rhadamanthys الذي تم إصداره في يونيو 2024، يحسّن بشكل كبير من الإصدار السابق 0.6.0، الذي صدر في فبراير 2024.

وأشار ريكوردد فيوتشر إلى أنه يشتمل على “إعادة كتابة كاملة لكل من أطر العمل من جانب العميل والخادم، مما يحسن استقرار تنفيذ البرنامج”. “بالإضافة إلى ذلك، تمت إضافة 30 خوارزمية لاختراق المحفظة، ورسومات مدعومة بالذكاء الاصطناعي، والتعرف على ملفات PDF لاستخراج العبارة. وتم تعزيز إمكانية استخراج النص لتحديد العبارات المحفوظة المتعددة.”

تم أيضًا تضمين ميزة تسمح للجهات الفاعلة في مجال التهديد بتشغيل وتثبيت ملفات Microsoft Software Installer (MSI) في محاولة واضحة لتجنب اكتشافها بواسطة الحلول الأمنية المثبتة على المضيف. ويحتوي أيضًا على إعداد لمنع إعادة التنفيذ خلال إطار زمني قابل للتكوين.

سلسلة العدوى عالية المستوى في رادامانثيس

أحد الجوانب الجديرة بالملاحظة في Rhadamanthys هو نظام المكونات الإضافية الخاص به والذي يمكنه زيادة قدراته باستخدام كلوغر ومقص العملة المشفرة ووظيفة الوكيل العكسي.

وقالت شركة Recorded Future: “يعتبر Rhadamanthys خيارًا شائعًا لمجرمي الإنترنت”. “إلى جانب تطوره السريع وميزاته الجديدة المبتكرة، فإنه يمثل تهديدًا هائلاً يجب على جميع المؤسسات أن تكون على دراية به.”

ويأتي هذا التطوير في الوقت الذي قامت فيه شركة Mandiant المملوكة لشركة Google بتفصيل استخدام Lumma Stealer لتدفق التحكم المخصص غير المباشر لمعالجة تنفيذ البرامج الضارة.

“هذه التقنية تحبط جميع أدوات التحليل الثنائي بما في ذلك IDA Pro وGhidra، مما يعيق بشكل كبير ليس فقط عملية الهندسة العكسية، ولكن أيضًا أدوات الأتمتة المصممة لالتقاط عناصر التنفيذ وتوليد الاكتشافات،” الباحثان نينو إيساكوفيتش وتشوونغ دونغ قال.

تم العثور أيضًا على Rhadamanthys وLumma، إلى جانب عائلات البرامج الضارة الأخرى مثل Meduza وStealC وVidar وWhiteSnake. الافراج عن التحديثات في الأسابيع الأخيرة لجمع ملفات تعريف الارتباط من متصفح الويب Chrome، مما يؤدي بشكل فعال إلى تجاوز آليات الأمان المقدمة حديثًا مثل التشفير المرتبط بالتطبيق.

علاوة على ذلك، فإن المطورين الذين يقفون وراء WhiteSnake Stealer قد فعلوا ذلك وأضاف القدرة على استخراج رموز التحقق من البطاقة (CVC) من بطاقات الائتمان المخزنة في Chrome، مما يسلط الضوء على الطبيعة المتطورة باستمرار لمشهد البرامج الضارة.

Rhadamanthys Stealer الذي يعمل بالذكاء الاصطناعي

هذا ليس كل شيء. لقد قام الباحثون تم تحديدها حملة Amadey للبرامج الضارة التي تنشر برنامج AutoIt النصي، والذي يقوم بعد ذلك بتشغيل متصفح الضحية وضع الكشك لإجبارهم على إدخال بيانات اعتماد حساب Google الخاص بهم. يتم تخزين معلومات تسجيل الدخول في مخزن بيانات اعتماد المتصفح على القرص ليتم حصادها لاحقًا بواسطة السارقين مثل StealC.

تتبع هذه التحديثات المستمرة أيضًا اكتشاف الجديد حملات التنزيل بالسيارة التي تقدم سارقي المعلومات عن طريق خداع المستخدمين لنسخ كود PowerShell وتنفيذه يدويًا لإثبات أنهم بشر عن طريق صفحة التحقق الخادعة CAPTCHA.

وكجزء من الحملة، تتم إعادة توجيه المستخدمين الذين يبحثون عن خدمات بث الفيديو على جوجل إلى عنوان URL ضار يحثهم على الضغط على زر Windows + R لبدء تشغيل قائمة التشغيل، ولصق أمر PowerShell المشفر، وتنفيذه، وفقًا لما ذكره موقع engadget. CloudSEK, eSentire, وحدة شبكات بالو ألتو 42، و سيكيوروركس.

الهجوم، الذي يسلم في النهاية اللصوص مثل Lumma وStealC وVidar، هو نسخة مختلفة من حملة ClickFix التي تم توثيقها في الأشهر الأخيرة بواسطة ReliaQuest وProofpoint وMcAfee Labs وTrellix.

وقالت شركة Secureworks: “إن ناقل الهجوم الجديد هذا يشكل خطرًا كبيرًا، لأنه يتحايل على ضوابط أمان المتصفح عن طريق فتح موجه الأوامر”. “يتم بعد ذلك توجيه الضحية لتنفيذ تعليمات برمجية غير مصرح بها مباشرة على مضيفه.”

وقد لوحظت أيضًا حملات التصيد الاحتيالي والإعلانات الضارة التي تقوم بتوزيع Atomic macOS Stealer (عاموسرايلايد، بالإضافة إلى إصدار جديد من البرامج الضارة التي تسرق البيانات والتي تسمى ثعبان كلوغر (المعروف أيضًا باسم 404 Keylogger أو KrakenKeylogger).

علاوة على ذلك، كان سارقو المعلومات مثل Atomic وRdhamanthys وStealC في قلب أكثر من 30 حملة احتيال نظمتها عصابة الجرائم الإلكترونية المعروفة باسم Marko Polo لإجراء سرقة العملات المشفرة عبر المنصات من خلال انتحال شخصية العلامات التجارية المشروعة في الألعاب عبر الإنترنت والاجتماعات الافتراضية وبرامج الإنتاجية. والعملة المشفرة.

“تستهدف شركة Marko Polo في المقام الأول اللاعبين، وأصحاب النفوذ في مجال العملات المشفرة، ومطوري البرامج عبر التصيد الاحتيالي على وسائل التواصل الاجتماعي – مما يسلط الضوء على تركيزها على الضحايا البارعين في استخدام التكنولوجيا،” “Recorded Future” قالمضيفًا “من المحتمل أن تكون عشرات الآلاف من الأجهزة قد تم اختراقها على مستوى العالم”.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى