新興マルウェア「Rhadamanthys 0.9.2」が新技術を搭載し登場！

新たなマルウェア「Rhadamanthys 0.9.2」の登場

チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）の脅威インテリジェンス部門、チェック・ポイント・リサーチ（CPR）が、新しい情報窃取型マルウェア「Rhadamanthys」のバージョン0.9.2を発表しました。このマルウェアは、巧妙な検出回避技術を備えています。今回はその詳細に迫ります。

Rhadamanthysの新機能

新バージョンでは、マルウェアが既存のセキュリティツールを無効化するための変更が施され、より難解な検出手法が追加されました。このマルウェアはナビゲートしやすい製品ラインを持ち、複数のプロダクトを提供する洗練されたウェブサイトを通じて攻撃者のプロフェッショナル化が進んでいます。

主に以下の技術的な改良が行われています：

- 新たなペイロード配信技術：PNG形式を使用した新しい方法で、従来とは異なる手法での情報の配信が行われています。
- 暗号化の更新：以前のバージョンから暗号化方式が変更され、持続的な脅威に対応できるようになっています。
- 新規なターゲットの追加：特に人気の暗号通貨ウォレットである「Ledger Live」を標的にしており、デジタル資産の窃盗に対する危険が増しています。
- サンドボックス検出機能の強化：新たにサンドボックス環境をより効果的に回避する技術が加わりました。

事態の重要性

Rhadamanthysはもはやニッチなマルウェアではなく、特に企業や個人に対する脅威として存在感を増しています。このマルウェアは、認証情報やブラウザデータ、ファイルなどを窃盗するための強力な機能を搭載しており、攻撃者はそれを金銭的利益を得る手段と見なしています。リリース直後から多くのセキュリティ担当者がこのマルウェアに対する対策を迫られています。

CPRは、セキュリティ担当者がRhadamanthysに効果的に対処するためのツールやシグネチャを提供していますが、従来の対策だけでは不十分になりつつあります。特に、Rhadamanthys 0.9.2の仕様に合致するように、検出ツールを更新する必要があります。

プロフェッショナルな運営姿勢

Rhadamanthysが初めて登場したのは2022年末、以来そのプロモーションはアンダーグラウンドフォーラムにとどまりませんでした。TelegramやTorサイトを通じた連絡手段の拡充、および新たなウェブサイトの立ち上げが行われました。これにより、まるで正規のソフトウェアベンダーのような姿を見せつつ、実際にはネット犯罪の中心として機能しているのです。