Email Palsu Penyebar Rhadamanthys

Email Palsu Penyebar Rhadamanthys
ARTIKEL Email Security
by penulis ARTIKEL, Email Security

Ratusan perusahaan di seluruh dunia telah menjadi sasaran email spear-phishing yang mengklaim pelanggaran hak cipta yang sebenarnya mengirimkan infostealer. Mari kita telaah lebih lanjut mengenai Email palsu penyebar Rhadamanthys.

Dimulai pada bulan Juli, peneliti siber mulai melacak email tersebut saat menyebar di seluruh Amerika, Eropa, dan Asia Tenggara, yang berasal dari domain baru setiap kalinya.

Ratusan pelanggannya telah menjadi sasaran, yang menunjukkan bahwa jangkauan sebenarnya dari kampanye tersebut mungkin jauh lebih besar lagi.

Tujuan dari email tersebut adalah untuk memancing korban yang diliputi rasa bersalah agar mengunduh Rhadamanthys, infostealer canggih yang juga mampu mencuri intelijen negara-bangsa atau, dalam hal ini, frasa sandi dompet mata uang kripto.

Email Palsu Penyebar Rhadamanthys

Tidak ada dua email dalam operasi yang oleh para peneliti dijuluki “CopyR(ight)hadamantys” berasal dari alamat yang sama, yang menunjukkan bahwa pasti ada semacam otomatisasi di balik distribusinya.

Otomatisasi ini terbukti aneh dalam beberapa keadaan seperti ketika target Israel menerima email yang hampir seluruhnya dalam bahasa Korea dan membatasi kemampuan email untuk secara realistis meniru merek terkenal.

Setiap pesan dibuat seolah-olah berasal dari perwakilan hukum perusahaan tertentu yang dikenal. Hampir 70% dari perusahaan tersebut berasal dari teknologi atau dari industri media dan hiburan.

Profil merek yang ditiru tersebut terjalin erat dengan cerita yang disebarkan oleh para penyerang: bahwa penerima telah mengunggah beberapa jenis konten di media sosial yang melanggar hak cipta.

Kita bisa berasumsi setiap orang pernah melakukannya dalam taraf tertentu dalam hidupnya. Hal itu membuat orang ragu dan berpikir, Oh, apakah saya menggunakan gambar yang salah? Apakah saya menyalin beberapa teks [secara tidak sengaja]? Bahkan jika Anda tidak melakukannya.

Penerima diminta untuk menghapus gambar dan video tertentu, yang detailnya terdapat dalam file yang dilindungi kata sandi. File tersebut sebenarnya adalah tautan yang mengarahkan pengguna untuk mengunduh arsip dari Dropbox atau Discord.

Arsip tersebut berisi dokumen umpan, file yang dapat dieksekusi yang sah, dan pustaka tautan dinamis (DLL) berbahaya yang berisi infostealer Rhadamanthys.

Tentang Rhadamanthys

Rhadamanthys adalah infostealer yang populer dan ulung. Seperti yang dijelaskan peneliti, bahwa Rhadamanthys adalah infostealer paling canggih yang dijual sebagai malware komoditas di Dark Web.

Harganya lebih mahal daripada infostealer lainnya: Umumnya, konsumen akan menyewa pencuri informasi lain dengan harga antara $100 hingga $200. Rhadamanthys lebih mahal, sekitar $1.000.

Rhadamanthys jauh lebih modular, lebih tersembunyi, dan lebih rumit dalam cara pembuatannya: Cara Rhadamanthys memuat dirinya sendiri, menyembunyikan dirinya sendiri, semua ini membuat deteksi menjadi jauh lebih rumit.

Di antara fitur-fitur lainnya, Rhadamanthys versi 0.7 terbaru memiliki komponen pengenalan karakter optik (OCR) berbasis mesin pembelajaran yang agak kuno.

Rhadamanthys bukanlah kecerdasan buatan (AI) yang canggih, Rhadamanthys kesulitan membaca teks dalam warna campuran, tidak dapat membaca tulisan tangan, dan hanya menafsirkan font yang paling populer. Meskipun demikian, hal itu membantu malware membaca data dari dokumen statis (seperti PDF) dan gambar.

Dalam CopyR(ight)hadamantys, modul OCR dilengkapi dengan kamus berisi 2.048 kata yang dikaitkan dengan kode perlindungan dompet Bitcoin. Hal ini mungkin menunjukkan bahwa penyerang mengincar mata uang kripto, yang jika benar, juga akan sejalan dengan penargetan operasi yang lebih luas, yang merupakan karakteristik kampanye yang bermotif finansial.

Dalam beberapa bulan terakhir, Rhadamanthys juga dikaitkan dengan aktor ancaman negara-bangsa seperti Void Manticore dari Iran, dan kelompok pro-Palestina “Handala.”

Baca lainnya:

Sumber berita:

Prosperita IT News