Les développeurs du logiciel malveillant voleur d’informations connu sous le nom de Rhadamanthys itèrent activement sur ses fonctionnalités, élargissant ses capacités de collecte d’informations et intégrant également un système de plugins pour le rendre plus personnalisable.
Cette approche le transforme non seulement en une menace capable de répondre aux « besoins spécifiques des distributeurs », mais la rend également plus puissante, selon Check Point. dit dans une étude technique publiée la semaine dernière.
Rhadamanthe, documenté pour la première fois par ThreatMon en octobre 2022, a été vendu sous le modèle malware-as-a-service (MaaS) dès septembre 2022 par un acteur sous le pseudonyme « kingcrete2022 ».
Généralement distribué via des sites Web malveillants reflétant ceux de logiciels authentiques annoncés via les publicités Google, le logiciel malveillant est capable de collecter un large éventail d’informations sensibles à partir d’hôtes compromis, notamment à partir de navigateurs Web, de portefeuilles cryptographiques, de clients de messagerie, de VPN et d’applications de messagerie instantanée. .
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« Rhadamanthys représente une étape dans la tradition émergente des malwares qui tentent d’en faire le plus possible, et aussi une démonstration que dans le secteur des malwares, avoir une marque forte est primordial », a déclaré la société israélienne de cybersécurité. noté en mars 2022.
UN enquête ultérieure en août, le logiciel malveillant disponible dans le commerce a révélé que « la conception et la mise en œuvre » chevauchaient celles du logiciel malveillant. Mineur de pièces Hidden Bee.
« La similitude est apparente à plusieurs niveaux : formats d’exécutables personnalisés, utilisation de systèmes de fichiers virtuels similaires, chemins identiques vers certains composants, fonctions réutilisées, utilisation similaire de la stéganographie, utilisation de scripts LUA et conception globale analogue », ont déclaré les chercheurs. , décrivant le développement du malware comme « rapide et continu ».
Au moment de la rédaction, la version de travail actuelle de Rhadamanthys est la 0.5.2, selon le description sur la chaîne Telegram de l’acteur menaçant.
L’analyse par Check Point des versions 0.5.0 et 0.5.1 révèle un nouveau système de plugins qui en fait effectivement davantage un couteau suisse, indiquant une évolution vers la modularisation et la personnalisation. Cela permet également aux clients voleurs de déployer des outils supplémentaires adaptés à leurs cibles.
Les composants voleurs sont à la fois actifs, capables d’ouvrir des processus et d’injecter des charges utiles supplémentaires conçues pour faciliter le vol d’informations, et passifs, conçus pour rechercher et analyser des fichiers spécifiques afin de récupérer les informations d’identification enregistrées.
Un autre aspect notable est l’utilisation d’un exécuteur de script Lua qui peut charger jusqu’à 100 scripts Lua pour voler autant d’informations que possible à partir de portefeuilles de crypto-monnaie, d’agents de messagerie, de services FTP, d’applications de prise de notes, de messageries instantanées, de VPN, d’authentification à deux facteurs. applications et gestionnaires de mots de passe.
La version 0.5.1 va encore plus loin en ajoutant une fonctionnalité de clipper pour modifier les données du presse-papiers correspondant aux adresses de portefeuille afin de détourner les paiements en crypto-monnaie vers un portefeuille contrôlé par un attaquant, ainsi qu’une option pour récupérer les cookies du compte Google, sur les traces de Lumma Stealer.
« L’auteur continue d’enrichir l’ensemble des fonctionnalités disponibles, en essayant d’en faire non seulement un voleur mais aussi un robot polyvalent, en lui permettant de charger plusieurs extensions créées par un distributeur », a déclaré la chercheuse en sécurité Aleksandra « Hasherezade » Doniec.
« Les fonctionnalités ajoutées, telles qu’un enregistreur de frappe et la collecte d’informations sur le système, constituent également une étape vers la transformation de ce logiciel espion à usage général. »
Injection de code d’AsyncRAT dans aspnet_compiler.exe
Ces résultats surviennent alors que Trend Micro détaille les nouvelles chaînes d’infection AsyncRAT qui exploitent un processus Microsoft légitime appelé aspnet_compiler.exe, utilisé pour précompiler les applications Web ASP.NET, afin de déployer furtivement le cheval de Troie d’accès à distance (RAT) via attaques de phishing.
Semblable à la façon dont Rhadamanthys effectue l’injection de code dans les processus en cours d’exécution, le processus en plusieurs étapes aboutit à l’injection de la charge utile AsyncRAT dans un processus aspnet_compiler.exe nouvellement généré pour finalement établir le contact avec un serveur de commande et de contrôle (C2).
« La porte dérobée AsyncRAT a d’autres capacités en fonction de la configuration intégrée », ont déclaré les chercheurs en sécurité Buddy Tancio, Fe Cureg et Maria Emreen Viray. « Cela inclut les contrôles anti-débogage et d’analyse, l’installation de persistance et l’enregistrement de frappe. »
Il est également conçu pour analyser des dossiers particuliers dans le répertoire de l’application, les extensions du navigateur et les données utilisateur afin de vérifier la présence de portefeuilles cryptographiques. En plus de cela, les acteurs de la menace ont été observés s’appuyant sur le DNS dynamique (DDNS) pour obscurcir délibérément leurs activités.
« L’utilisation de serveurs hôtes dynamiques permet aux auteurs de menaces de mettre à jour de manière transparente leurs adresses IP, renforçant ainsi leur capacité à rester indétectables au sein du système », ont indiqué les chercheurs.