El actor de amenaza detrás Rhadamanthys También ha anunciado otras dos herramientas llamadas Elysium Proxy Bot y Crypt Service en su sitio web, incluso cuando el robador de información insignia se ha actualizado para respaldar la capacidad de recopilar huellas digitales de dispositivos y navegadores web, entre otros.
«Rhadamanthys fue inicialmente promovido a través de publicaciones en foros de cibercrimen, pero pronto quedó claro que el autor tenía un plan más ambicioso para conectarse con clientes potenciales y construir visibilidad», el investigador de puntos de control Aleksandra «Doniec» Doniec dicho en un nuevo informe.
Anunciado por primera vez por un actor de amenaza llamado KingCrete2022, Rhadamanthys se ha convertido en uno de los robadores de información más populares disponibles bajo un modelo de malware como Servicio (MAAS) junto con Lumma, Vidar, Stealc y, más recientemente, acreed. La versión actual del robador es 0.9.2.
Con los años, las capacidades del robador se han extendido mucho más allá de la simple recopilación de datos, representando una amenaza integral para la seguridad personal y corporativa. En un análisis de la versión 0.7.0 del malware en octubre pasado, grabó Future detallado La adición de una nueva característica de inteligencia artificial (AI) para el reconocimiento de caracteres ópticos (OCR) para capturar frases de semillas de billetera de criptomonedas.
Los últimos hallazgos de Check Point muestran que los actores de amenaza se renombraron como «Rhad Security» y «Mythical Origin Labs», comercializando sus ofertas como «soluciones inteligentes para la innovación y la eficiencia».
Rhadamanthys está disponible en tres paquetes escalonados, a partir de $ 299 por mes para una versión autohospedada a $ 499 por mes que viene con beneficios adicionales, que incluyen soporte técnico prioritario, servidor y acceso avanzado de API. Los posibles clientes también pueden comprar un plan empresarial contactando directamente a su equipo de ventas.
«La combinación de la marca, la cartera de productos y la estructura de precios sugieren que los autores tratan a Rhadamanthys como una empresa comercial a largo plazo en lugar de un proyecto paralelo», señaló Hasherezade. «Para los defensores, esta profesionalización señala que Rhadamanthys con su creciente base de clientes y un ecosistema en expansión es probable que se quede aquí, lo que hace que sea importante rastrear no solo sus actualizaciones de malware sino también la infraestructura comercial que lo sostiene».
Como Lumma versión 4.0Rhadamanthys Versión 0.9.2 incluye una característica para evitar filtrar artefactos desempaquetados mostrando al usuario una alerta que les permita finalizar la ejecución del malware sin infligir ningún daño a la máquina en la que se ejecuta.
Esto se hace en un intento de evitar que los distribuidores de malware propagen el ejecutable inicial en su forma simple y sin protección para reducir los esfuerzos de detección, así como infectar sus sistemas en el proceso. Dicho esto, si bien el mensaje de alerta puede ser el mismo en ambos robos, la implementación es completamente diferente, dijo Check Point, lo que sugiere «imitación a nivel de superficie».
«En Lumma, la apertura y la lectura del archivo se implementa a través de syscalls sin procesar, y el cuadro de mensaje se ejecuta a través de ntraiseharderror», señaló. «En Rhadamanthys, las syscalls sin procesar no se usan, y el mismo cuadro de mensajes se muestra por MessageBoxw. Ambos cargadores están ofuscados, pero los patrones de ofuscación son diferentes».
Otras actualizaciones de Rhadamanthys se refieren a los ligeros ajustes al formato XS personalizado utilizado para enviar los módulos ejecutables, las verificaciones ejecutadas para confirmar si el malware debe continuar su ejecución en el host, y la configuración ofuscada incrustada en él. Las modificaciones también se extienden a ofuscar los nombres de los módulos para volar bajo el radar.
Uno de los módulos, previamente denominados estrategia, es responsable de una serie de verificaciones de entorno para garantizar que no se esté ejecutando en un entorno de sandboxed. Además, verifica los procesos de ejecución en una lista de los prohibidos, obtiene el fondo de pantalla actual y lo verifica contra uno codificado que representa la caja de arena de triaje.
También ejecuta un cheque para confirmar si el nombre de usuario actual coincide con cualquier cosa que se asemeja a los utilizados para las cajas de arena, y compara el HWID (identificador de hardware) de la máquina con una lista predefinida, una vez más para determinar la presencia de una caja de arena. Solo cuando se pasan todas estas verificaciones que la muestra procede a establecer una conexión con un servidor de comando y control (C2) para obtener el componente central del robador.
La carga útil se oculta utilizando técnicas esteganográficas, ya sea como un archivo WAV, JPEG o PNG, desde donde se extrae, descifró y se lanzó. Vale la pena señalar que descifrar el paquete del PNG requiere un secreto compartido que se acuerda durante la fase inicial de la comunicación C2.
El módulo Stealer, para su parte, está equipado con un corredor Lua incorporado que sirve complementos adicionales escritos en el lenguaje de programación para facilitar el robo de datos y realizar una extensa huella digital de dispositivos y navegadores.
«La última variante representa una evolución en lugar de una revolución. Los analistas deben actualizar sus analizadores de configuración, monitorear la entrega de carga útil basada en PNG, rastrear los cambios en los formatos de ID de Mutex y Bot, y esperar una mayor rotación en la ofuscación a medida que las herramientas se ponen al día», dijo Check Point.
«Actualmente, el desarrollo es más lento y más estable: el diseño central permanece intacto, con cambios centrados en los refinamientos, como los nuevos componentes del robador, los cambios en la ofuscación y las opciones de personalización más avanzadas».
Fuente