Nel panorama della sicurezza informatica, nuove minacce come Sniper Dz e Rhadamanthys rappresentano rischi crescenti per utenti e organizzazioni. La prima è una piattaforma Phishing-as-a-Service (PhaaS) che semplifica l’esecuzione di attacchi di phishing, mentre Rhadamanthys è un malware avanzato che integra funzionalità di intelligenza artificiale per rubare frasi seed delle criptovalute da immagini. Entrambe le minacce richiedono una maggiore attenzione e strategie di difesa avanzate.
Sniper Dz: hosting e strumenti a disposizione dei cybercriminali
Sniper Dz è una piattaforma PhaaS che sta rapidamente guadagnando popolarità tra i cybercriminali per la sua facilità di utilizzo e accessibilità. Creata per fornire hosting e modelli scaricabili di pagine di phishing, la piattaforma rende possibile la creazione di attacchi mirati contro una vasta gamma di servizi e piattaforme online. Con oltre 140.000 siti web di phishing associati, Sniper Dz ha consolidato la propria presenza nell’ambiente delle minacce informatiche, facilitando il furto di credenziali e altre informazioni personali.
L’infrastruttura della piattaforma permette agli utenti di scegliere tra due opzioni principali per distribuire le loro pagine di phishing: l’hosting diretto sul proprio servizio o il download dei modelli per distribuirli attraverso altre reti. Il sistema Sniper Dz utilizza server proxy che nascondono il contenuto delle pagine di phishing e mascherano l’attività della piattaforma, rendendo difficile il rilevamento. Inoltre, Sniper Dz offre una dashboard dettagliata per gestire le attività, selezionare i modelli di phishing e monitorare il traffico delle vittime, garantendo così un’esperienza completa per gli attaccanti.
Il servizio è gratuito per gli utilizzatori, ma ciò ha una finalità nascosta: tutte le credenziali rubate vengono raccolte dalla piattaforma, dando al suo creatore la possibilità di accedere a una vasta gamma di dati sensibili. Gli attacchi di phishing facilitati da Sniper Dz mirano principalmente a piattaforme social e servizi online come banche e e-mail. Questa strategia ha un duplice vantaggio per gli attaccanti: la facilità di accesso al servizio e la massimizzazione dei profitti tramite il furto di dati e credenziali personali.
L’impatto di questa piattaforma è significativo, con molti utenti ignari che cadono vittima di attacchi di phishing ben progettati e difficili da distinguere dai siti legittimi. La capacità di creare pagine di phishing che imitano siti reali aumenta notevolmente il tasso di successo degli attacchi. Pertanto, secondo Palo Alto, le aziende e gli utenti finali devono implementare strategie di sicurezza come autenticazione a più fattori (MFA) e monitorare attentamente i tentativi di accesso sospetti per evitare furti di dati.
Rhadamanthys: malware avanzato con funzioni AI per il furto di criptovalute
Rhadamanthys è un malware di tipo stealer, noto per la sua capacità di rubare credenziali e dati sensibili da dispositivi infetti. Identificato per la prima volta nel 2022, il malware ha subito un’evoluzione rapida, culminando nella versione 0.7.0, che introduce una funzione AI avanzata in grado di estrarre frasi seed di portafogli di criptovalute direttamente dalle immagini. Questa innovazione posiziona Rhadamanthys come una minaccia significativa, specialmente per gli utenti che gestiscono criptovalute e portafogli digitali.
Una delle caratteristiche chiave della versione 0.7.0 è l’integrazione del riconoscimento ottico dei caratteri (OCR) tramite intelligenza artificiale. Questa funzione consente al malware di analizzare le immagini presenti su un dispositivo infetto, identificare frasi seed di criptovalute e inviarle a un server di comando e controllo (C2) per ulteriore sfruttamento. Questa capacità di riconoscere e esfiltrare dati dalle immagini rende Rhadamanthys uno degli stealer più avanzati e pericolosi nel panorama delle minacce informatiche.
Rhadamanthys utilizza diverse tecniche di evasione, tra cui la distribuzione tramite file MSI, che sono comunemente considerati affidabili dai sistemi di sicurezza. Questo metodo permette agli attaccanti di bypassare facilmente i controlli tradizionali di sicurezza, installando il malware sul dispositivo della vittima senza essere rilevati. Una volta attivo, il malware è in grado di raccogliere credenziali da browser, informazioni di sistema, cookie e dati delle applicazioni, oltre ai dati delle criptovalute.
Il malware è attivamente venduto su forum underground con licenze a partire da 250 dollari per un periodo di 30 giorni. Il suo sviluppatore, noto con lo pseudonimo “kingcrete2022”, ha ricevuto divieti su alcune piattaforme per aver preso di mira entità russe, ma continua a distribuire il malware attraverso altri canali come TOX e Telegram.
Le strategie di mitigazione suggerite dai ricercatori di Recorded includono l’implementazione di “kill switch” basati su mutex per impedire l’esecuzione del malware su sistemi non infetti e l’utilizzo di regole di rilevamento avanzate, come Sigma, Snort e YARA, per identificare comportamenti sospetti legati all’esecuzione di file MSI e altre attività correlate.
Riflessioni sulle minacce Sniper Dz e Rhadamanthys
La piattaforma di phishing Sniper Dz e il malware Rhadamanthys rappresentano due minacce distinte, ma altamente efficaci nel panorama della sicurezza informatica. La prima facilita gli attacchi di phishing rendendoli accessibili anche a utenti con poche conoscenze tecniche, mentre il secondo introduce funzionalità AI per potenziare la capacità di rubare dati finanziari, in particolare criptovalute. La combinazione di tecniche avanzate come l’HTML smuggling e l’uso di file MSI rende queste minacce difficili da rilevare e mitigare, sottolineando l’importanza di strategie di difesa attive, come aggiornamenti costanti e autenticazione a più fattori.
