מאות חברות ברחבי העולם הותקפו בדוא"ל דיוג חנית הטוען להפרת זכויות יוצרים, כאשר למעשה הוא גורם להפעלת נוזקת גניבת מידע. החל מיולי, החלה צ'ק פוינט לעקוב אחר הודעות האימייל כשהן מתפשטות על פני אמריקה, אירופה ודרום מזרח אסיה – הודעות אימייל אשר הגיעו בכל פעם מדומיין חדש. מאות מלקוחות החברה קיבלו את ההודעות הללו, מה שמצביע על כך שהטווח האמיתי של מתקפת הדיוג יכול להיות גדול בהרבה. מטרת המיילים היא לפתות קורבנות להוריד את Rhadamanthys -נוזקת גניבת מידע מתוחכמת המסוגלת לגנוב מידע מודיעיני של מדינות או, במקרה הזה, לגנוב סיסמאות של ארנקי קריפטו.
אין שני מיילים במתקפת סייבר אותה כינו החוקרים "CopyR(ight)hadamantys" שהגיעו מאותה כתובת, מה שמצביע על כך שחייבת להיות איזושהי אוטומציה מאחורי ההפצה שלהם. האוטומציה הזו מתגלה כמסורבלת בנסיבות מסוימות – כמו למשל כאשר יעד ישראלי מקבל מייל שכמעט כולו בקוריאנית – ומגבילה את יכולת המיילים להתחזות למותגים מוכרים באופן מציאותי. כל אחד מהמיילים נראה כאילו הוא הגיע מנציגים משפטיים של חברות ספציפיות ומוכרות. כ- 70% מהחברות הללו הינן בתחום הטכנולוגיה – כמו צ'ק פוינט עצמה – או מתעשיות המדיה והבידור.
הפרופיל של המותגים אליהם התחזו פושעי הסייבר משתלב בצורה יפה עם הסיפור שנרקם כדי להפיל בפח את הקורבנות: נאמר לנמענים כי הם פרסמו תוכן כלשהו ברשתות החברתיות שהפר זכויות יוצרים. "אני מניח שכולם עשו את זה במידה מסוימת בחייו", אמר סרגיי שיקביץ' – מנהל קבוצת מודיעין איומים בצ'ק פוינט. "זה פשוט גורם לאנשים להסס ולחשוב, 'רגע, האם השתמשתי באיזו תמונה לא נכונה? האם העתקתי טקסט כלשהו בטעות?' גם אם זה לא קרה באמת". הנמענים התבקשו להסיר תמונות וסרטונים ספציפיים, שפרטיהם כלולים בקובץ מוגן בסיסמה שנשלח אליהם. הקובץ הוא למעשה קישור המפנה את המשתמש להורדת ארכיון מדרופבוקס או דיסקורד. הארכיון מכיל מסמך פיתוי, קובץ הפעלה לגיטימי וספריית קישורים דינמיים זדוניים (DLL) המכילה את גנב המידע Rhadamanthys.
Rhadamanthys הינה נוזקת גניבת מידע פופולרית. כפי שמסביר שיקביץ', "זה ללא כל ספק המתוחכם ביותר מבין גנבי המידע הנמכרים כנוזקות ברשת האינטרנט האפלה. נוזקה זו יקרה יותר מגנבי מידע אחרים: לרוב ניתן לשכור נוזקות גניבת מידע אחרות בין $100 ל- $200. לעומת זאת, נוזקת Rhadamanthys יקרה יותר והיא עולה בסביבות $1,000. הנוזקה הרבה יותר מודולרית, יותר מעורפלת ומסובכת במבנה שלה. האופן שבו היא טוענת את עצמה ומסתירה את עצמה, הופך את גילויה להרבה יותר קשה".
בין שאר התכונות, כוללת הגרסה החדשה ביותר של Rhadamanthys 0.7 רכיב זיהוי תווים אופטי (OCR) מעט ארכאי המבוסס על לימוד מכונה. עובדה זו מסייעת לנוזקה לקרוא נתונים ממסמכים סטטיים (כמו קובצי PDF) ותמונות. במתקפת הסייבר CopyR(ight)hadamantys, מגיע מודול ה- OCR טעון במילון של 2,048 מילים הקשורות לקודי הגנה לארנקי ביטקוין. הדבר עשוי להצביע על כך שפושעי הסייבר מחפשים מטבעות קריפטוגרפיים, שאם הם נכונים, יתאימו גם למיקוד הרחב של מתקפת הסייבר – המאפיין קמפיינים בעלי מוטיבציה פיננסית. בחודשים האחרונים הייתה קבוצת Rhadamanthys מזוהה גם עם גורמי איום לאומיים כגון איראן והקבוצה הפרו-פלסטינית "Handala".
ארגונים המבקשים להתגונן מפני מתקפת CopyR(ight)hadamantys צריכים להתחיל עם הגנות דיוג, אולם קיימם היבטים נוספים במתקפה זו שכדאי לציין: ה- DLL הזדוני כותב גרסה גדולה משמעותית של עצמו לתיקיית המסמכים של המחשב הנפגע, שמתחזה לרכיב של פיירפוקס. גרסה זו של הקובץ מקבילה מבחינה תפקודית לגרסה הראשונה. מה שהופך אותו לכבד יותר הוא "שכבת על" – נתונים חסרי תועלת המשרתים שתי פונקציות מטא. ראשית, הוא משנה את ערך ה- hash של הקובץ, אמצעי נפוץ שבו תוכניות אנטי-וירוס מזהות נוזקות. תוכנות אנטי-וירוס מסוימות גם נמנעות מסריקת קבצים גדולים במיוחד. "למשל, הם לא רוצים להריץ קבצים הקשורים למשחקים בנפחי גיגה-בייט עצומים, כי זה גורם לעומס גבוה", מסביר שיקביץ'. לפי ההיגיון הזה, קובץ Rhadamanthys גדול יותר חסר תועלת, עשוי לשפר את סיכוייו להימנע מגילוי. עם זאת, מוסיף שיקביץ': "זה לא נפוץ במיוחד כי זה גם לא נוח להאקרים להתמודד עם קבצים ענקיים. במערכות דוא"ל אתה לא יכול לצרף קבצים יותר מ- 20MB, אז אתה צריך לשלוח את הקורבן למשאב חיצוני כלשהו. אז זו טקטיקה, אבל זו לא טקטיקה שתמיד עובדת."
ייתכן שארגונים ירצו לנטר ולבדוק את כל הקבצים הגדולים במיוחד שהעובדים עשויים להוריד ממיילים. "זה לא קל, כי יש הרבה סיבות לכך שחלק מהקבצים הלגיטימיים יהיו גדולים", אומר שיקביץ'. "אבל אני חושב שאפשר ליישם כמה כללים יעילים עבור מה שעובדים יכולים להוריד."
