A Rhadamanthys nevű, rendkívül moduláris információlopó (infostealer) kártevő először 2022-ben jelent meg a kibertérben, és azóta is folyamatosan fejlődik. A legújabb kampányai során a támadók egy rendkívül megtévesztő, úgynevezett ClickFix Captcha módszert alkalmaznak, amely új szintre emeli a social engineering és technikai megtévesztés kombinációját. Ez a technika lehetővé teszi számukra, hogy a felhasználók gyanakvásának kikerülésével juttassák célba a rosszindulatú kódot. A cikkben részletesen bemutatjuk a Rhadamanthys új terjesztési mechanizmusát, a támadási láncot, valamint a védekezés lehetséges módjait, különösen a detektálás és megelőzés szempontjából.
A támadás menete: ClickFix Captcha mögé rejtett veszély
A legfrissebb vizsgálatok alapján a támadás egy látszólag legitim, de valójában adathalász célú domainről indul: hxxps://ypp-studio[.]com. Az oldal célja, hogy egy hamis CAPTCHA felülettel rávegye a látogatót egy kattintásra, amely látszólag a botok kiszűrését, tehát a felhasználó emberi milétének tisztázását szolgálja, de valójában egy fileless (fájlnélküli) támadási láncot indít el.
A támadási folyamat első lépése egy PowerShell script lefuttatása. Ez a script egy másodlagos payloadot tölt le az update.txt fájlból, amely obfuszkált kódot tartalmaz, például hexadecimálisan kódolt URL-t és véletlenszerű karakterekkel tarkított parancsokat. Ez egy álcázott MSI telepítőfájl, amely a %AppData% könyvtárba kerül, majd a msiexec.exe segítségével települ – így még jobban elkerülve az észlelést.
Technikai elemzés: Lopás, rejtőzés, túlélés
Álcázás és megtévesztés
A telepítés végén a felhasználó egy „Verification complete!” (Ellenőrzés befejezve!) üzenetet kap, amely a folyamat legitimitását sugallja. A kártevő ekkor már aktívan működik a háttérben, és megkezdi az adatok begyűjtését.
Haladó elkerülési technikák
A Rhadamanthys különösen ügyel arra, hogy elkerülje a biztonsági kutatók és automatizált elemző rendszerek (sandbox, VM) figyelmét:
- Anti-VM és anti-debugging ellenőrzések
- Időalapú oldalsó csatornás támadásdetektálás
- Elemző eszközök (pl. OllyDbg.exe, Wireshark.exe) keresése és megszakítása
- Közvetlen IP-alapú C2 kommunikáció, amely elkerüli a DNS-alapú szűrést
Célpont és adatlopás
A kártevő által célzott adatok köre rendkívül széles:
- Böngésző hitelesítő adatok (Chrome, Firefox, Edge)
- Rendszerinformációk
- Kriptotárcák, seed phrase-ek – újabban képfelismerés segítségével is!
- Képernyőmentések és más személyes információk
A lopott adatokat a kártevő a háttérben, titkosítva küldi el a C2 szerverekre, ahonnan további visszaélésekhez használhatják fel azokat.
A Rhadamanthys fejlődése és terjedési stratégiái
Ez a kártevő Malware-as-a-Service (MaaS) formában érhető el az alvilági fórumokon, így könnyen hozzáférhetővé válik technikailag kevésbé hozzáértő támadók számára is. A verziók gyors fejlődése – például az AI-alapú seed phrase kinyerés bevezetése a 0.5.0 és 0.7.0 verziók között – aggasztó gyorsasággal növeli a fenyegetés mértékét.
Terjesztési csatornák:
- Adathalász oldalak (pl. ypp-studio[.]com)
- Typosquatting domainek
- E-mail csatolmányok és makrók
- Letölthető „szoftverfrissítések” formájában álcázott telepítők
Védekezési lehetőségek
Felhasználói tudatosság növelése
Az egyik legfontosabb védekezési mód a felhasználók képzése. Ismerniük kell a gyanús domainnevek, hamis CAPTCHA-k és váratlan telepítések kockázatait.
Technikai szintű védekezés
- Webes szűrés: Tiltani kell az ismert veszélyes IP-k és domain-ek elérését
- PowerShell-alapú detektálás: Szokatlan paraméterek és registry-módosítások figyelése
- Viselkedésalapú EDR rendszer: Fileless támadások azonosításához
Például Sigma szabály PowerShell tevékenység detektálására:
yaml
MásolásSzerkesztés
title: Rhadamanthys Infostealer PowerShell Behavior
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: powershell.exe
CommandLine|contains|all:
– “-w hidden”
– “-ep bypass”
condition: selection
level: high
A Rhadamanthys infostealer új kampánya rávilágít arra, mennyire veszélyes lehet egy jól álcázott, social engineering-re építő támadás. A ClickFix Captcha módszer alkalmazása új szintre emelte a megtévesztést, amely már nem csupán technikai, hanem pszichológiai szinten is támad. A védekezés kulcsa a proaktív odafigyelés, a felhasználók oktatása és az automatizált detekciós szabályok alkalmazása. A kiberbiztonsági közösségnek továbbra is ébernek kell lennie, mivel az ilyen kampányok egyre kifinomultabbá és célzottabbá válnak.