Los desarrolladores del malware ladr\u00f3n de informaci\u00f3n conocido como Rhadamanthys est\u00e1n iterando activamente sus funciones, ampliando sus capacidades de recopilaci\u00f3n de informaci\u00f3n y tambi\u00e9n incorporando un sistema de complementos para hacerlo m\u00e1s personalizable.<\/p>\n
Este enfoque no s\u00f3lo lo transforma en una amenaza capaz de satisfacer “necesidades espec\u00edficas de los distribuidores”, sino que tambi\u00e9n lo hace m\u00e1s potente, seg\u00fan Check Point. dicho<\/a> en un an\u00e1lisis t\u00e9cnico profundo publicado la semana pasada.<\/p>\n Radamantis, documentado por primera vez<\/a> por ThreatMon en octubre de 2022, fue vendido bajo el modelo de malware como servicio (MaaS) ya en septiembre de 2022 por un actor bajo el alias “kingcrete2022”.<\/p>\n El malware, que normalmente se distribuye a trav\u00e9s de sitios web maliciosos que reflejan los del software original que se anuncia a trav\u00e9s de anuncios de Google, es capaz de recopilar una amplia gama de informaci\u00f3n confidencial de los hosts comprometidos, incluidos navegadores web, billeteras criptogr\u00e1ficas, clientes de correo electr\u00f3nico, VPN y aplicaciones de mensajer\u00eda instant\u00e1nea. .<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n “Rhadamanthys representa un paso en la tradici\u00f3n emergente del malware que intenta hacer todo lo posible, y tambi\u00e9n una demostraci\u00f3n de que en el negocio del malware, tener una marca fuerte lo es todo”, afirma la firma israel\u00ed de ciberseguridad. anotado<\/a> en marzo de 2022.<\/p>\n A investigaci\u00f3n posterior<\/a> El an\u00e1lisis del malware disponible en agosto revel\u00f3 una superposici\u00f3n de “dise\u00f1o e implementaci\u00f3n” con el del malware Minero de monedas de abeja oculta<\/a>.<\/p>\n “La similitud es evidente en muchos niveles: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas id\u00e9nticas a algunos de los componentes, funciones reutilizadas, uso similar de esteganograf\u00eda, uso de scripts LUA y dise\u00f1o an\u00e1logo en general”, dijeron los investigadores. , describiendo el desarrollo del malware como “r\u00e1pido y continuo”.<\/p>\n Al momento de escribir este art\u00edculo, la versi\u00f3n funcional actual de Rhadamanthys es 0.5.2, seg\u00fan el descripci\u00f3n<\/a> en el canal de Telegram del actor de amenazas.<\/p>\n El an\u00e1lisis de Check Point de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de complementos que efectivamente lo convierte en una navaja suiza, lo que indica un cambio hacia la modularizaci\u00f3n y la personalizaci\u00f3n. Esto tambi\u00e9n permite a los clientes ladrones implementar herramientas adicionales adaptadas a sus objetivos.<\/p>\n Los componentes del ladr\u00f3n son tanto activos, capaces de abrir procesos e inyectar cargas \u00fatiles adicionales dise\u00f1adas para facilitar el robo de informaci\u00f3n, como pasivos, que est\u00e1n dise\u00f1ados para buscar y analizar archivos espec\u00edficos para recuperar credenciales guardadas.<\/p>\n Otro aspecto notable es el uso de un ejecutador de scripts Lua que puede cargar hasta 100 scripts Lua para robar la mayor cantidad de informaci\u00f3n posible de billeteras de criptomonedas, agentes de correo electr\u00f3nico, servicios FTP, aplicaciones para tomar notas, mensajer\u00eda instant\u00e1nea, VPN y autenticaci\u00f3n de dos factores. aplicaciones y administradores de contrase\u00f1as.<\/p>\n La versi\u00f3n 0.5.1 va un paso m\u00e1s all\u00e1 y agrega la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar pagos en criptomonedas a una billetera controlada por el atacante, as\u00ed como una opci\u00f3n para recuperar las cookies de la cuenta de Google, siguiendo los pasos de Lumma Stealer.<\/p>\n “El autor sigue enriqueciendo el conjunto de funciones disponibles, intentando convertirlo no s\u00f3lo en un ladr\u00f3n sino en un robot multiprop\u00f3sito, permiti\u00e9ndole cargar m\u00faltiples extensiones creadas por un distribuidor”, dijo la investigadora de seguridad Aleksandra “Hasherezade” Doniec.<\/p>\n “Las funciones a\u00f1adidas, como un registrador de teclas y la recopilaci\u00f3n de informaci\u00f3n sobre el sistema, tambi\u00e9n son un paso para convertirlo en un software esp\u00eda de uso general”.<\/p>\n Los hallazgos se producen mientras Trend Micro detalla nuevas cadenas de infecci\u00f3n AsyncRAT que aprovechan un proceso leg\u00edtimo de Microsoft llamado aspnet_compiler.exe, que se utiliza para precompilar aplicaciones web ASP.NET, para implementar sigilosamente el troyano de acceso remoto (RAT) a trav\u00e9s de ataques de phishing<\/a>.<\/p>\n De manera similar a c\u00f3mo Rhadamanthys lleva a cabo la inyecci\u00f3n de c\u00f3digo en los procesos en ejecuci\u00f3n, el proceso de varias etapas culmina con la inyecci\u00f3n de la carga \u00fatil AsyncRAT en un proceso aspnet_compiler.exe reci\u00e9n generado para finalmente establecer contacto con un servidor de comando y control (C2).<\/p>\n “La puerta trasera AsyncRAT tiene otras capacidades dependiendo de la configuraci\u00f3n integrada”, dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. “Esto incluye comprobaciones de an\u00e1lisis y antidepuraci\u00f3n, instalaci\u00f3n persistente y registro de teclas”.<\/p>\n Tambi\u00e9n est\u00e1 dise\u00f1ado para escanear carpetas particulares dentro del directorio de la aplicaci\u00f3n, extensiones del navegador y datos del usuario para verificar la presencia de billeteras criptogr\u00e1ficas. Adem\u00e1s de eso, se ha observado que los actores de amenazas dependen de DNS din\u00e1mico (DDNS<\/a>) para ofuscar deliberadamente sus actividades.<\/p>\n “El uso de servidores host din\u00e1micos permite a los actores de amenazas actualizar sin problemas sus direcciones IP, fortaleciendo su capacidad para permanecer sin ser detectados dentro del sistema”, dijeron los investigadores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Rhadamanthys-Malware-Surge-la-navaja-suiza-de-los-ladrones-de.jpg\")
<\/a><\/center><\/div>\nInyecci\u00f3n de c\u00f3digo de AsyncRAT en aspnet_compiler.exe<\/h2>\n