El actor de amenaza detrás Rhadamanthys Además ha anunciado otras dos herramientas llamadas Elysium Proxy Bot y Crypt Service en su sitio web, incluso cuando el robador de información insignia se ha actualizado para respaldar la capacidad de compilar huellas digitales de dispositivos y navegadores web, entre otros.
«Rhadamanthys fue promovido inicialmente a través de publicaciones en foros de cibercrimen, pero pronto quedó claro que el autor tenía un plan más arribista para conectarse con clientes potenciales y construir visibilidad», dijo el investigador de Check Point Aleksandra «Hasherezade» Doniec en un nuevo noticia.
Anunciado por primera vez por un actor de amenaza llamado KingCrete2022, Rhadamanthys se ha convertido en uno de los robadores de información más populares disponibles bajo un maniquí de malware como Servicio (MAAS) yuxtapuesto con Lumma, Vidar, Stealc y, más recientemente, acreed. La traducción contemporáneo del robador es 0.9.2.
Con los primaveras, las capacidades del robador se han extendido mucho más allá de la simple compendio de datos, representando una amenaza integral para la seguridad personal y corporativa. En un disección de la traducción 0.7.0 del malware en octubre pasado, el futuro registrado detalló la apéndice de una nueva característica de inteligencia fabricado (AI) para el gratitud de caracteres ópticos (OCR) para capturar frases de semillas de billetera de criptomonedas.
Los últimos hallazgos de Check Point muestran que los actores de amenaza se renombraron como «Rhad Security» y «Mythical Origin Labs», comercializando sus ofertas como «soluciones inteligentes para la innovación y la eficiencia».
Rhadamanthys está habitable en tres paquetes escalonados, a partir de $ 299 por mes para una traducción autohospedada a $ 499 por mes que viene con beneficios adicionales, que incluyen soporte técnico prioritario, servidor y ataque reformista de API. Los posibles clientes igualmente pueden comprar un plan empresarial contactando directamente a su equipo de ventas.
«La combinación de la marca, la cartera de productos y la estructura de precios sugieren que los autores tratan a Rhadamanthys como una empresa comercial a abundante plazo en superficie de un tesina paralelo», señaló Hasherezade. «Para los defensores, esta profesionalización señala que Rhadamanthys con su creciente pulvínulo de clientes y un ecosistema en expansión es probable que se quede aquí, lo que hace que sea importante rastrear no solo sus actualizaciones de malware sino igualmente la infraestructura comercial que lo sostiene».
Al igual que Lumma traducción 4.0, Rhadamanthys Interpretación 0.9.2 incluye una característica para evitar filtrar artefactos desempaquetados mostrando al agraciado una alerta que les permite finalizar la ejecución del malware sin infligir ningún daño a la máquina en la que se está ejecutando.
Esto se hace en un intento de evitar que los distribuidores de malware propagen el ejecutable auténtico en su forma simple y sin protección para dominar los esfuerzos de detección, así como infectar sus sistemas en el proceso. Dicho esto, si proporcionadamente el mensaje de alerta puede ser el mismo en uno y otro robos, la implementación es completamente diferente, dijo Check Point, lo que sugiere «imitación a nivel de superficie».
«En Lumma, la transigencia y la recital del archivo se implementa a través de syscalls sin procesar, y el cuadro de mensaje se ejecuta a través de ntraiseharderror», señaló. «En Rhadamanthys, las syscalls sin procesar no se usan, y el mismo cuadro de mensajes se muestra por MessageBoxw. Uno y otro cargadores están ofuscados, pero los patrones de ofuscación son diferentes».
Otras actualizaciones de Rhadamanthys se refieren a los ligeros ajustes al formato XS personalizado utilizado para expedir los módulos ejecutables, las verificaciones ejecutadas para confirmar si el malware debe continuar su ejecución en el host, y la configuración ofuscada incrustada en él. Las modificaciones igualmente se extienden a ofuscar los nombres de los módulos para esfumarse bajo el radar.
Uno de los módulos, previamente denominados táctica, es responsable de una serie de verificaciones de entorno para certificar que no se esté ejecutando en un entorno de sandboxed. Encima, verifica los procesos de ejecución en una letanía de los prohibidos, obtiene el fondo de pantalla contemporáneo y lo verifica contra uno codificado que representa la caja de arena de triaje.
Además ejecuta un cheque para confirmar si el nombre de agraciado contemporáneo coincide con cualquier cosa que se asemeja a los utilizados para las cajas de arena, y compara el HWID (identificador de hardware) de la máquina con una letanía predefinida, una vez más para determinar la presencia de una caja de arena. Solo cuando se pasan todas estas verificaciones que la muestra procede a establecer una conexión con un servidor de comando y control (C2) para obtener el componente central del robador.
La carga útil se oculta utilizando técnicas esteganográficas, ya sea como un archivo WAV, JPEG o PNG, desde donde se extrae, descifró y se lanzó. Vale la pena señalar que descifrar el paquete del PNG requiere un secreto compartido que se acuerda durante la período auténtico de la comunicación C2.
El módulo Stealer, para su parte, está equipado con un corredor Lua incorporado que sirve complementos adicionales escritos en el verbo de programación para favorecer el robo de datos y realizar una extensa huella digital de dispositivos y navegadores.
«La última cambio representa una progreso en superficie de una revolución. Los analistas deben renovar sus analizadores de configuración, monitorear la entrega de carga útil basada en PNG, rastrear los cambios en los formatos de ID de Mutex y Bot, y esperar una viejo rotación en la ofuscación a medida que las herramientas se ponen al día», dijo Check Point.
«Actualmente, el explicación es más moroso y más estable: el diseño central permanece limpio, con cambios centrados en los refinamientos, como los nuevos componentes del robador, los cambios en la ofuscación y las opciones de personalización más avanzadas».
