Los desarrolladores del malware ladrón de información conocido como Rhadamanthys están iterando activamente sus funciones, ampliando sus capacidades de recopilación de información y también incorporando un sistema de complementos para hacerlo más personalizable.
Este enfoque no sólo lo transforma en una amenaza capaz de satisfacer «necesidades específicas de los distribuidores», sino que también lo hace más potente, según Check Point. dicho en un análisis técnico profundo publicado la semana pasada.
Radamantis, documentado por primera vez por ThreatMon en octubre de 2022, fue vendido bajo el modelo de malware como servicio (MaaS) ya en septiembre de 2022 por un actor bajo el alias «kingcrete2022».
El malware, que normalmente se distribuye a través de sitios web maliciosos que reflejan los del software original que se anuncia a través de anuncios de Google, es capaz de recopilar una amplia gama de información confidencial de los hosts comprometidos, incluidos navegadores web, billeteras criptográficas, clientes de correo electrónico, VPN y aplicaciones de mensajería instantánea. .
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
«Rhadamanthys representa un paso en la tradición emergente del malware que intenta hacer todo lo posible, y también una demostración de que en el negocio del malware, tener una marca fuerte lo es todo», afirma la firma israelí de ciberseguridad. anotado en marzo de 2022.
A investigación posterior El análisis del malware disponible en agosto reveló una superposición de «diseño e implementación» con el del malware Minero de monedas de abeja oculta.
«La similitud es evidente en muchos niveles: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas idénticas a algunos de los componentes, funciones reutilizadas, uso similar de esteganografía, uso de scripts LUA y diseño análogo en general», dijeron los investigadores. , describiendo el desarrollo del malware como «rápido y continuo».
Al momento de escribir este artículo, la versión funcional actual de Rhadamanthys es 0.5.2, según el descripción en el canal de Telegram del actor de amenazas.
El análisis de Check Point de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de complementos que efectivamente lo convierte en una navaja suiza, lo que indica un cambio hacia la modularización y la personalización. Esto también permite a los clientes ladrones implementar herramientas adicionales adaptadas a sus objetivos.
Los componentes del ladrón son tanto activos, capaces de abrir procesos e inyectar cargas útiles adicionales diseñadas para facilitar el robo de información, como pasivos, que están diseñados para buscar y analizar archivos específicos para recuperar credenciales guardadas.
Otro aspecto notable es el uso de un ejecutador de scripts Lua que puede cargar hasta 100 scripts Lua para robar la mayor cantidad de información posible de billeteras de criptomonedas, agentes de correo electrónico, servicios FTP, aplicaciones para tomar notas, mensajería instantánea, VPN y autenticación de dos factores. aplicaciones y administradores de contraseñas.
La versión 0.5.1 va un paso más allá y agrega la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar pagos en criptomonedas a una billetera controlada por el atacante, así como una opción para recuperar las cookies de la cuenta de Google, siguiendo los pasos de Lumma Stealer.
«El autor sigue enriqueciendo el conjunto de funciones disponibles, intentando convertirlo no sólo en un ladrón sino en un robot multipropósito, permitiéndole cargar múltiples extensiones creadas por un distribuidor», dijo la investigadora de seguridad Aleksandra «Hasherezade» Doniec.
«Las funciones añadidas, como un registrador de teclas y la recopilación de información sobre el sistema, también son un paso para convertirlo en un software espía de uso general».
Inyección de código de AsyncRAT en aspnet_compiler.exe
Los hallazgos se producen mientras Trend Micro detalla nuevas cadenas de infección AsyncRAT que aprovechan un proceso legítimo de Microsoft llamado aspnet_compiler.exe, que se utiliza para precompilar aplicaciones web ASP.NET, para implementar sigilosamente el troyano de acceso remoto (RAT) a través de ataques de phishing.
De manera similar a cómo Rhadamanthys lleva a cabo la inyección de código en los procesos en ejecución, el proceso de varias etapas culmina con la inyección de la carga útil AsyncRAT en un proceso aspnet_compiler.exe recién generado para finalmente establecer contacto con un servidor de comando y control (C2).
«La puerta trasera AsyncRAT tiene otras capacidades dependiendo de la configuración integrada», dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. «Esto incluye comprobaciones de análisis y antidepuración, instalación persistente y registro de teclas».
También está diseñado para escanear carpetas particulares dentro del directorio de la aplicación, extensiones del navegador y datos del usuario para verificar la presencia de billeteras criptográficas. Además de eso, se ha observado que los actores de amenazas dependen de DNS dinámico (DDNS) para ofuscar deliberadamente sus actividades.
«El uso de servidores host dinámicos permite a los actores de amenazas actualizar sin problemas sus direcciones IP, fortaleciendo su capacidad para permanecer sin ser detectados dentro del sistema», dijeron los investigadores.