Wouter Hoeffnagel - 10 november 2024

Infostealer Rhadamanthys Stealer verspreid via grootschalige phishingcampagne

Cybercriminelen gebruiken een nieuwe versie van de Rhadamanthys Stealer om gegevens te stelen via een campagne genaamd CopyRh(ight)adamantys. Deze campagne is gericht op individuen en organisaties en misleidt hen met nepclaims over inbreuk op auteursrechten. De aanvallers maken gebruik van Gmail-accounts om valse e-mails te sturen die afkomstig lijken te zijn van bekende bedrijven. In deze berichten wordt ten onrechte gesteld dat de ontvanger via social media inbreuk maakt op auteursrechten, met instructies voor het verwijderen van inhoud die in werkelijkheid malware installeren.

Infostealer Rhadamanthys Stealer verspreid via grootschalige phishingcampagne image

Hiervoor waarschuwen onderzoekers van Check Point Research. De campagne maakt gebruik van spear-phishingmails die zogenaamd zijn verzonden door juridische vertegenwoordigers van bekende bedrijven. In de e-mails wordt de ontvanger beschuldigd van ongeoorloofd gebruik van merken op social media en wordt gevraagd om specifieke afbeeldingen en video’s te verwijderen. De verwijderingsinstructies leiden echter naar een downloadlink die de nieuwste versie van de Rhadamanthys-malware activeert.

Deze campagne richt zich op verschillende regio’s, waaronder de VS en Europa, en een breed scala aan sectoren. Opvallend is het grote aantal unieke e-mails dat in omloop is; elke e-mail komt van een ander adres en richt zich op een specifieke contactpersoon. Bijna 70% van de geïmiteerde bedrijven bevindt zich in de entertainment-, media-, technologie- en softwaresectoren. Dit kan komen doordat deze sectoren vaker te maken hebben met auteursrechtclaims, waardoor de phishing-e-mails geloofwaardig lijken.

Financieel gewin

Hoewel Rhadamanthys eerder in verband werd gebracht met staatssponsoring, wijst de analyse van Check Point Research erop dat CopyRh(ight)adamantys waarschijnlijk wordt uitgevoerd door cybercriminelen die puur uit zijn op financieel gewin.

“De voorbeelden van phishing zijn legio en door hybride werken kan er geen onderscheid meer gemaakt worden tussen bedrijven en consumenten: elke werknemer is consument en omgekeerd. De phishingcampagne die we nu ontdekt hebben, is nog maar eens de bevestiging dat we niet meer kunnen berusten in standaardbeveiliging. Hackers worden steeds gehaaider en kunnen met gemak de standaardbeveiliging van Google of Microsoft omzeilen", reageert Zahier Madhar, security engineer expert bij Check Point Software Technologies. “Nederlanders ontvangen gemiddeld 80 tot 120 e-mails per dag. Dit genereert dus ook 80 tot 120 kansen per dag per Nederlander, oftewel zo'n 2 miljard kansen per dag, om via e-mail slachtoffers te maken. Hoewel iedereen zich bewust is van de gevaren die phishing met zich meebrengt, zien we dat concrete actie nog al te vaak uitblijft. We moeten stilstaan bij de kosten van niets doen en kunnen het ons niet langer permitteren om te vertrouwen op de standaardopties, want het is wel duidelijk dat de gevolgen van een phishingaanval vele malen groter zijn dan nu investeren in een degelijke e-mailbeveiliging.”

Gebruik van AI in de campagne

Volgens de ontwikkelaars van de Rhadamanthys Stealer bevat de nieuwe versie geavanceerde functies zoals AI-engines. Onderzoek door Check Point Research toont echter aan dat de malware eerder gebruikmaakt van klassieke machine learning-technieken, zoals die voor OCR-software (optische tekenherkenning). Het lijkt erop dat de aanvallers mogelijk geautomatiseerde tools gebruiken, mogelijk met AI, om de phishinginhoud en vele Gmail-accounts te genereren. De meeste communicatie is in de lokale taal van het doelwit of in het Engels, hoewel fouten soms voorkomen: zo werd een e-mail aan een Israëlisch doelwit per ongeluk in het Koreaans verzonden, met alleen de naam correct gelokaliseerd.

Toen Check Point Research deze campagne ontdekte, ontvingen zij zelf meldingen van phishing-e-mails die Check Point imiteerden, wat erop wijst dat de Rhadamanthys Stealer breder wordt ingezet voor soortgelijke aanvallen.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW