El actor de amenaza detrás Rhadamanthys Incluso ha anunciado otras dos herramientas llamadas Elysium Proxy Bot y Crypt Service en su sitio web, incluso cuando el robador de información insignia se ha actualizado para respaldar la capacidad de compendiar huellas digitales de dispositivos y navegadores web, entre otros.
“Rhadamanthys fue promovido inicialmente a través de publicaciones en foros de cibercrimen, pero pronto quedó claro que el autor tenía un plan más arribista para conectarse con clientes potenciales y construir visibilidad”, dijo el investigador de Check Point Aleksandra “Hasherezade” Doniec en un nuevo mensaje.
Anunciado por primera vez por un actor de amenaza llamado KingCrete2022, Rhadamanthys se ha convertido en uno de los robadores de información más populares disponibles bajo un maniquí de malware como Servicio (MAAS) próximo con Lumma, Vidar, Stealc y, más recientemente, acreed. La lectura coetáneo del robador es 0.9.2.
Con los primaveras, las capacidades del robador se han extendido mucho más allá de la simple sumario de datos, representando una amenaza integral para la seguridad personal y corporativa. En un estudio de la lectura 0.7.0 del malware en octubre pasado, el futuro registrado detalló la suplemento de una nueva característica de inteligencia fabricado (AI) para el agradecimiento de caracteres ópticos (OCR) para capturar frases de semillas de billetera de criptomonedas.
Los últimos hallazgos de Check Point muestran que los actores de amenaza se renombraron como “Rhad Security” y “Mythical Origin Labs”, comercializando sus ofertas como “soluciones inteligentes para la innovación y la eficiencia”.
Rhadamanthys está adecuado en tres paquetes escalonados, a partir de $ 299 por mes para una lectura autohospedada a $ 499 por mes que viene con beneficios adicionales, que incluyen soporte técnico prioritario, servidor y camino renovador de API. Los posibles clientes además pueden comprar un plan empresarial contactando directamente a su equipo de ventas.
“La combinación de la marca, la cartera de productos y la estructura de precios sugieren que los autores tratan a Rhadamanthys como una empresa comercial a derrochador plazo en circunscripción de un esquema paralelo”, señaló Hasherezade. “Para los defensores, esta profesionalización señala que Rhadamanthys con su creciente pulvínulo de clientes y un ecosistema en expansión es probable que se quede aquí, lo que hace que sea importante rastrear no solo sus actualizaciones de malware sino además la infraestructura comercial que lo sostiene”.
Al igual que Lumma lectura 4.0, Rhadamanthys Interpretación 0.9.2 incluye una característica para evitar filtrar artefactos desempaquetados mostrando al legatario una alerta que les permite finalizar la ejecución del malware sin infligir ningún daño a la máquina en la que se está ejecutando.
Esto se hace en un intento de evitar que los distribuidores de malware propagen el ejecutable original en su forma simple y sin protección para sujetar los esfuerzos de detección, así como infectar sus sistemas en el proceso. Dicho esto, si acertadamente el mensaje de alerta puede ser el mismo en los dos robos, la implementación es completamente diferente, dijo Check Point, lo que sugiere “imitación a nivel de superficie”.
“En Lumma, la comprensión y la repaso del archivo se implementa a través de syscalls sin procesar, y el cuadro de mensaje se ejecuta a través de ntraiseharderror”, señaló. “En Rhadamanthys, las syscalls sin procesar no se usan, y el mismo cuadro de mensajes se muestra por MessageBoxw. Entreambos cargadores están ofuscados, pero los patrones de ofuscación son diferentes”.
Otras actualizaciones de Rhadamanthys se refieren a los ligeros ajustes al formato XS personalizado utilizado para cursar los módulos ejecutables, las verificaciones ejecutadas para confirmar si el malware debe continuar su ejecución en el host, y la configuración ofuscada incrustada en él. Las modificaciones además se extienden a ofuscar los nombres de los módulos para estallar bajo el radar.
Uno de los módulos, previamente denominados táctica, es responsable de una serie de verificaciones de entorno para asegurar que no se esté ejecutando en un entorno de sandboxed. Adicionalmente, verifica los procesos de ejecución en una relación de los prohibidos, obtiene el fondo de pantalla coetáneo y lo verifica contra uno codificado que representa la caja de arena de triaje.
Incluso ejecuta un cheque para confirmar si el nombre de legatario coetáneo coincide con cualquier cosa que se asemeja a los utilizados para las cajas de arena, y compara el HWID (identificador de hardware) de la máquina con una relación predefinida, una vez más para determinar la presencia de una caja de arena. Solo cuando se pasan todas estas verificaciones que la muestra procede a establecer una conexión con un servidor de comando y control (C2) para obtener el componente central del robador.
La carga útil se oculta utilizando técnicas esteganográficas, ya sea como un archivo WAV, JPEG o PNG, desde donde se extrae, descifró y se lanzó. Vale la pena señalar que descifrar el paquete del PNG requiere un secreto compartido que se acuerda durante la período original de la comunicación C2.
El módulo Stealer, para su parte, está equipado con un corredor Lua incorporado que sirve complementos adicionales escritos en el jerga de programación para entregar el robo de datos y realizar una extensa huella digital de dispositivos y navegadores.
“La última reforma representa una crecimiento en circunscripción de una revolución. Los analistas deben poner al día sus analizadores de configuración, monitorear la entrega de carga útil basada en PNG, rastrear los cambios en los formatos de ID de Mutex y Bot, y esperar una anciano rotación en la ofuscación a medida que las herramientas se ponen al día”, dijo Check Point.
“Actualmente, el progreso es más paulatino y más estable: el diseño central permanece casto, con cambios centrados en los refinamientos, como los nuevos componentes del robador, los cambios en la ofuscación y las opciones de personalización más avanzadas”.
