A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, vem monitorando uma campanha de phishing em andamento, de grande escala e sofisticada, que utiliza a versão mais recente do malware de roubo de informações Rhadamanthys stealer (0.7). Os pesquisadores da CPR nomearam a campanha de CopyRh(ight)adamantys.
Esta campanha utiliza o tema de violação de direitos autorais para atingir várias regiões, incluindo os Estados Unidos, Europa, Leste da Ásia e América do Sul. A campanha visou indivíduos e empresas globalmente por meio de contas de e-mail dedicadas do Gmail, e os atacantes se passaram por empresas legítimas e alegaram violações de direitos autorais.
Os pesquisadores verificaram que cada e-mail é enviado a uma entidade específica e visada a partir de uma conta Gmail diferente, adaptando a empresa simulada e o idioma conforme a entidade alvo. Quase 70% das empresas que sofreram com falsificação da marca são dos setores de Entretenimento / Mídia e Tecnologia / Software.
A análise das iscas e alvos nesta campanha sugere que o atacante usa automação para distribuir as iscas. Devido à escala da campanha e à variedade de iscas e e-mails remetentes, há uma possibilidade de que o ator da ameaça também tenha utilizado ferramentas de IA.
Uma das principais atualizações na versão do Rhadamanthys stealer, de acordo com as alegações do seu autor, é o reconhecimento de texto com IA. No entanto, os pesquisadores da CPR descobriram que o componente introduzido pelo Rhadamanthys não incorpora nenhum dos mecanismos modernos de IA, mas utiliza aprendizado de máquina clássico, muito mais antigo, típico de softwares de OCR (Reconhecimento Óptico de Caracteres).
Cibercrime motivado financeiramente
Esta operação se distingue dos esforços cibernéticos de Estados-nação ao visar uma ampla gama de organizações de forma indiscriminada, em vez de ativos de alto valor, como agências governamentais ou infraestruturas críticas. Seu foco em ataques de phishing de grande volume para extrair dados aponta para ganhos financeiros, e não espionagem, marcando uma mudança na escala e sofisticação do cibercrime motivado financeiramente.
Esta operação de phishing, que levou à implementação de uma versão atualizada do malware Rhadamanthys, destaca o crescente desafio que as organizações enfrentam ao se defender contra campanhas de phishing cada vez mais sofisticadas e motivadas financeiramente.
De acordo com o autor do Rhadamanthys stealer, a versão atualizada afirma incorporar recursos avançados baseados em IA, o que foi refutado, já que, em vez de usar mecanismos modernos de IA, o malware depende de técnicas mais antigas de aprendizado de máquina comumente vistas em softwares de OCR. Curiosamente, os atacantes podem estar utilizando ferramentas de automação aprimoradas por IA para criar conteúdo de phishing e gerenciar o alto volume de contas do Gmail e o phishing diversificado necessários para a campanha.
“Essa descoberta da campanha CopyRh(ight)adamantys revela não apenas a sofisticação crescente das ameaças cibernéticas, mas também destaca como os cibercriminosos estão utilizando IA para fins de marketing e automação para ampliar seu alcance e escala operacional. Para os líderes de segurança, vemos como um alerta para priorizar a automação e a IA nas estratégias defensivas e cibersegurança, a fim de combater essas campanhas de phishing de escala global”, ressalta Sergey Shykevich, gerente do grupo de Produtos e P&D da Check Point Software.
