E-mails direcionados usam contas Gmail, arquivos protegidos por senha e DLL side-loading para instalar o Rhadamanthys, com persistência, evasão por alteração de hash e módulo OCR voltado a frases BIP39.
| Componente | Campanha de phishing CopyRh(ight)adamantys distribuindo o stealer Rhadamanthys versão 0.7, incluindo o módulo OCR ImgDat em /bin/amd64/imgdat.bin. |
| Vetor | E-mails de spear phishing enviados normalmente por contas Gmail, com falsa alegação de violação de direitos autorais em páginas do Facebook e link para arquivo protegido por senha hospedado por redirecionamentos via appspot.com, Dropbox ou Discord. |
| Impacto | Execução do Rhadamanthys por DLL side-loading, cópia persistente como FirefoxData.dll, comunicação com C2, carregamento de Stage 3 e processamento de imagens ou PDFs para localizar palavras de frases BIP39 associadas a carteiras Bitcoin. |
| Prioridade | Bloquear e investigar downloads de arquivos protegidos por senha originados de e-mails de denúncia de copyright, revisar execução de binários legítimos acompanhados por DLL suspeita e caçar criação de FirefoxData.dll em Documents. |
| Artefatos | Contas Gmail por alvo, links appspot.com, Dropbox e Discord, arquivo compactado protegido por senha, executável legítimo, DLL empacotada, decoy Adobe ESPS ou PDF, FirefoxData.dll, ImgDat, bip39.txt, APIs init e process. |
| Limite de atribuição | A atividade foi inicialmente confundida com campanhas ligadas a Handala e Void Manticore, mas a análise do cluster descrito indica operação cybercrime-oriented distinta e motivada financeiramente. |
Uma campanha ampla de phishing acompanha o Rhadamanthys desde julho de 2024 usando um tema operacional simples: a vítima recebe uma suposta notificação de violação de propriedade intelectual associada a conteúdo publicado em páginas do Facebook. A mensagem afirma que instruções de remoção estariam em um arquivo protegido por senha, mas o fluxo leva ao download de um pacote malicioso. A distribuição observada usa, de forma recorrente, contas Gmail diferentes para cada tentativa, adaptação de idioma e personificação de diversas empresas. A escolha de iscas ligadas a copyright pressiona equipes de mídia, tecnologia, software e operações digitais a abrir anexos ou arquivos baixados sem validar a origem do aviso.
O malware implantado é o Rhadamanthys 0.7, uma versão que mantém a cadeia em estágios e adiciona um componente de reconhecimento de texto. A infecção começa quando o usuário executa um binário legítimo presente no arquivo compactado. Esse binário carrega uma DLL maliciosa por DLL side-loading, desempacota componentes do stealer e prossegue para etapas de evasão, comunicação com servidor de comando e controle e carregamento de módulos adicionais. O componente OCR não usa motores modernos de IA no material analisado; ele opera com técnicas clássicas de aprendizado de máquina e busca termos de bip39.txt, indicando interesse em frases mnemônicas usadas em carteiras Bitcoin.
O fluxo inicial depende de engenharia social e de uma sequência de download desenhada para reduzir suspeitas. O e-mail apresenta uma acusação de infração de direitos autorais, fornece a senha do suposto arquivo de instruções e direciona a vítima para um link em appspot.com associado à conta Gmail usada na mensagem. O redirecionamento leva a Dropbox ou Discord, onde o arquivo protegido por senha é recuperado. Essa proteção por senha dificulta análise automática em algumas camadas de e-mail e transfere a decisão de abertura para o usuário. Dentro do arquivo há três elementos principais: um executável legítimo, uma DLL maliciosa que contém o Rhadamanthys empacotado e um documento decoy Adobe ESPS ou PDF.
Quando o executável legítimo é iniciado, ele resolve a DLL no diretório local e carrega o código malicioso no lugar de uma biblioteca esperada. A DLL então desempacota os componentes do Rhadamanthys. Depois da execução inicial, o stealer grava uma cópia significativamente maior da DLL na pasta Documents, usando o nome FirefoxData.dll para se passar por componente relacionado ao Firefox. A diferença relevante entre a DLL inicial e a cópia descartada é um overlay vazio anexado ao arquivo. Essa alteração muda o hash e pode prejudicar detecções baseadas apenas em assinatura estática; em alguns ambientes, o aumento de tamanho também pode afetar limites de varredura de determinados mecanismos antivírus.
A arquitetura em estágios permanece próxima de versões anteriores descritas no próprio conjunto de análise. O executável inicial contém um pacote embutido do qual o Stage 2 é desempacotado. O Stage 2 executa checagens extensas de evasão na máquina comprometida, estabelece comunicação com o servidor de comando e controle e baixa um pacote seguinte com o Stage 3. O Stage 3 é entregue esteganograficamente em um arquivo WAV e reúne módulos de stealer. No Rhadamanthys 0.7, o módulo ImgDat, localizado no sistema de arquivos interno como /bin/amd64/imgdat.bin, é acionado pelo módulo principal do Stage 3, coredll.bin, que coordena os demais componentes.
O ImgDat expõe funções como init e process. A rotina init inicializa o OCR com uma configuração e retorna uma estrutura de contexto. A rotina process executa leitura de arquivos compatíveis, carregamento de imagem pela interface GDI+, pré-processamento de pixels e extração de texto. O mecanismo aplica thresholding para realçar contraste antes de submeter a imagem a um modelo local treinado. As sentenças extraídas são separadas em palavras e comparadas com a lista carregada de bip39.txt. Quando há correspondência suficiente, descrita como pelo menos nove strings da lista e pelo menos doze strings processadas, a função retorna verdadeiro, sinalizando provável presença de material útil para ataques contra carteiras Bitcoin.
A superfície exposta é composta por organizações que recebem comunicações externas sobre propriedade intelectual, abuso de marca, conteúdo em redes sociais ou supostas denúncias contra páginas do Facebook. A campanha observada tem distribuição geográfica ampla, com alvos nos Estados Unidos, Europa, Oriente Médio, Leste Asiático e América do Sul. A própria amostra de alvos é limitada pela telemetria disponível, portanto a campanha deve ser tratada como operação de alcance maior do que os casos diretamente observados. A variedade de empresas personificadas e de contas remetentes indica automação na geração e no envio das iscas.
O risco técnico não está restrito ao gateway de e-mail. A cadeia atravessa navegador, armazenamento em nuvem, endpoint Windows, execução de binário local, carregamento de DLL, persistência em diretório de usuário e comunicação de saída para C2. Controles que inspecionam apenas anexos diretos podem perder a etapa de download por link. Controles que dependem apenas de hash podem falhar quando a DLL sofre alteração por overlay. Ambientes nos quais usuários conseguem executar binários baixados de arquivos compactados, especialmente com DLLs no mesmo diretório, ficam mais expostos ao padrão de DLL side-loading descrito.
O componente OCR amplia a área de interesse defensivo para arquivos de imagem e PDF que contenham palavras de recuperação de carteiras. O modelo tem limitações: reconhece melhor fontes populares, não lida bem com texto manuscrito e tem dificuldade com linhas em cores misturadas ou contraste inconsistente. Mesmo com essas restrições, a presença de bip39.txt com a lista de 2048 palavras do padrão BIP39 mostra que a busca não é genérica; ela tenta identificar documentos nos quais usuários tenham armazenado frases mnemônicas de carteiras Bitcoin.
- Usuários que recebem denúncias externas de copyright ou propriedade intelectual envolvendo páginas do Facebook.
- Endpoints Windows capazes de executar arquivos baixados de Dropbox, Discord ou redirecionamentos por
appspot.com. - Diretórios de usuário, especialmente
Documents, onde a cópiaFirefoxData.dllpode ser gravada. - Ambientes com imagens ou PDFs contendo palavras de frases
BIP39armazenadas localmente. - Organizações dos setores de entretenimento, mídia, tecnologia e software, que aparecem com frequência entre as empresas personificadas.
A caçada deve correlacionar eventos de e-mail, navegação e endpoint. No e-mail, procure mensagens vindas de contas Gmail recém-observadas ou sem histórico com o destinatário, escritas em idioma localizado, com alegação de violação de direitos autorais, referência a Facebook e senha incluída no corpo. Erros de localização também são relevantes: houve caso em que a mensagem para alvo israelense foi escrita em coreano em vez de hebraico, mantendo apenas o nome do alvo localizado. Esse tipo de inconsistência pode indicar geração automatizada de conteúdo.
No endpoint, priorize a sequência arquivo compactado protegido por senha, extração de executável legítimo junto de DLL desconhecida e documento decoy. A execução de um binário legítimo a partir de diretórios temporários, downloads ou pastas recém-extraídas, seguida pelo carregamento de DLL no mesmo caminho, é um sinal forte para investigação. A criação de FirefoxData.dll em Documents, principalmente quando o arquivo apresenta tamanho incomum ou overlay anexado, deve ser tratada como artefato de alto interesse. Também vale observar alterações de registro para persistência, ainda que o caminho exato da chave não esteja disponível no material analisado.
Na rede, o Stage 2 realiza contato com C2 para obter o pacote que contém o Stage 3. Como os indicadores concretos de infraestrutura não foram fornecidos, a detecção deve se apoiar em comportamento: processo iniciado por arquivo extraído estabelecendo conexão externa logo após DLL side-loading, download subsequente de conteúdo não compatível com navegação normal e presença de arquivo WAV usado como contêiner esteganográfico. Em EDR, investigue processos originados de executáveis recém-baixados que injetam módulos em processos do diretório system32, pois o carregamento de componentes do Rhadamanthys foi descrito com essa técnica.
- E-mails Gmail com denúncia de copyright, senha no corpo e link que passa por
appspot.com. - Downloads de arquivos protegidos por senha a partir de Dropbox ou Discord após clique em link de denúncia.
- Execução de binário legítimo acompanhado por DLL desconhecida no mesmo diretório extraído.
- Criação de
FirefoxData.dllna pastaDocumentscom hash diferente da DLL inicial por overlay vazio. - Leitura de imagens ou PDFs seguida de uso do módulo
ImgDate da configuraçãobip39.txt. - Contato externo do Stage 2 com C2 antes do recebimento do pacote Stage 3 em arquivo WAV.
A resposta deve começar pela interrupção do vetor de entrega. Gateways de e-mail e ferramentas de colaboração precisam tratar denúncias de copyright com anexos indiretos, senhas no corpo e links para appspot.com, Dropbox ou Discord como fluxo de risco. Bloqueios não precisam depender de uma única marca personificada: a campanha adapta empresa, idioma e remetente por alvo. A validação deve considerar o conjunto de sinais, como remetente Gmail sem relação anterior, alegação de violação em Facebook, link de download e arquivo protegido por senha.
No endpoint, reduza a chance de DLL side-loading restringindo execução de binários extraídos de arquivos baixados e aplicando políticas de reputação, controle de aplicação ou bloqueio por origem da Web quando disponível. Monitore gravação de DLLs em diretórios de usuário e impeça persistência não autorizada por chaves de registro. Como a campanha altera hash por overlay, detecção por comportamento e por relacionamento entre processos é mais confiável do que regras que dependem apenas do digest do arquivo. Arquivos chamados FirefoxData.dll fora de diretórios legítimos de instalação devem ser investigados com prioridade.
Para contenção, isole máquinas com execução confirmada do pacote, colete o arquivo compactado, o executável legítimo usado no side-loading, a DLL original, a cópia em Documents e eventuais arquivos WAV baixados após comunicação com C2. Revogue sessões e revise credenciais usadas na máquina comprometida, mantendo a ação alinhada ao que foi observado no host. Quando houver suspeita de acesso a arquivos contendo frases de carteiras Bitcoin, trate esses artefatos como altamente sensíveis e remova-os do endpoint, substituindo o método de armazenamento por mecanismo apropriado fora do sistema comprometido.
A validação pós-contenção deve confirmar ausência de persistência, ausência de novas conexões do Stage 2, remoção de artefatos e bloqueio do caminho de download. Como a campanha usa automação e variação de remetentes, a melhoria de controles precisa ser aplicada por padrão comportamental e não por uma lista curta de contas. A conscientização interna deve focar a checagem de denúncias de propriedade intelectual por canais oficiais e a proibição de abrir arquivos protegidos por senha enviados por remetentes externos desconhecidos.
- Bloquear ou colocar em quarentena e-mails com denúncia de copyright, senha no corpo e link para arquivo compactado externo.
- Restringir execução de binários extraídos de arquivos baixados quando acompanhados por DLLs no mesmo diretório.
- Criar detecção para
FirefoxData.dllemDocumentse para DLLs com overlay anômalo após execução inicial. - Investigar downloads por
appspot.com, Dropbox e Discord iniciados a partir de mensagens Gmail relacionadas a Facebook. - Isolar endpoints com DLL side-loading confirmado e coletar executável, DLL, decoy PDF ou ESPS e arquivo WAV subsequente.
- Remover arquivos locais que armazenem frases
BIP39em imagens ou PDFs e substituir esse armazenamento por processo seguro.
0 Comentários