El actor de amenaza detr谩s Rhadamanthys Tambi茅n ha anunciado otras dos herramientas llamadas Elysium Proxy Bot y Crypt Service en su sitio web, incluso cuando el robador de informaci贸n insignia se ha actualizado para respaldar la capacidad de recopilar huellas digitales de dispositivos y navegadores web, entre otros.
芦Rhadamanthys fue promovido inicialmente a trav茅s de publicaciones en foros de cibercrimen, pero pronto qued贸 claro que el autor ten铆a un plan m谩s ambicioso para conectarse con clientes potenciales y construir visibilidad禄, dijo el investigador de Check Point Aleksandra 芦Hasherezade禄 Doniec en un nuevo informe.
Anunciado por primera vez por un actor de amenaza llamado KingCrete2022, Rhadamanthys se ha convertido en uno de los robadores de informaci贸n m谩s populares disponibles bajo un modelo de malware como Servicio (MAAS) junto con Lumma, Vidar, Stealc y, m谩s recientemente, acreed. La versi贸n actual del robador es 0.9.2.
Con los a帽os, las capacidades del robador se han extendido mucho m谩s all谩 de la simple recopilaci贸n de datos, representando una amenaza integral para la seguridad personal y corporativa. En un an谩lisis de la versi贸n 0.7.0 del malware en octubre pasado, el futuro registrado detall贸 la adici贸n de una nueva caracter铆stica de inteligencia artificial (AI) para el reconocimiento de caracteres 贸pticos (OCR) para capturar frases de semillas de billetera de criptomonedas.
Los 煤ltimos hallazgos de Check Point muestran que los actores de amenaza se renombraron como 芦Rhad Security禄 y 芦Mythical Origin Labs禄, comercializando sus ofertas como 芦soluciones inteligentes para la innovaci贸n y la eficiencia禄.
Rhadamanthys est谩 disponible en tres paquetes escalonados, a partir de $ 299 por mes para una versi贸n autohospedada a $ 499 por mes que viene con beneficios adicionales, que incluyen soporte t茅cnico prioritario, servidor y acceso avanzado de API. Los posibles clientes tambi茅n pueden comprar un plan empresarial contactando directamente a su equipo de ventas.
芦La combinaci贸n de la marca, la cartera de productos y la estructura de precios sugieren que los autores tratan a Rhadamanthys como una empresa comercial a largo plazo en lugar de un proyecto paralelo禄, se帽al贸 Hasherezade. 芦Para los defensores, esta profesionalizaci贸n se帽ala que Rhadamanthys con su creciente base de clientes y un ecosistema en expansi贸n es probable que se quede aqu铆, lo que hace que sea importante rastrear no solo sus actualizaciones de malware sino tambi茅n la infraestructura comercial que lo sostiene禄.
Al igual que Lumma versi贸n 4.0, Rhadamanthys Versi贸n 0.9.2 incluye una caracter铆stica para evitar filtrar artefactos desempaquetados mostrando al usuario una alerta que les permite finalizar la ejecuci贸n del malware sin infligir ning煤n da帽o a la m谩quina en la que se est谩 ejecutando.
Esto se hace en un intento de evitar que los distribuidores de malware propagen el ejecutable inicial en su forma simple y sin protecci贸n para reducir los esfuerzos de detecci贸n, as铆 como infectar sus sistemas en el proceso. Dicho esto, si bien el mensaje de alerta puede ser el mismo en ambos robos, la implementaci贸n es completamente diferente, dijo Check Point, lo que sugiere 芦imitaci贸n a nivel de superficie禄.
芦En Lumma, la apertura y la lectura del archivo se implementa a trav茅s de syscalls sin procesar, y el cuadro de mensaje se ejecuta a trav茅s de ntraiseharderror禄, se帽al贸. 芦En Rhadamanthys, las syscalls sin procesar no se usan, y el mismo cuadro de mensajes se muestra por MessageBoxw. Ambos cargadores est谩n ofuscados, pero los patrones de ofuscaci贸n son diferentes禄.
Otras actualizaciones de Rhadamanthys se refieren a los ligeros ajustes al formato XS personalizado utilizado para enviar los m贸dulos ejecutables, las verificaciones ejecutadas para confirmar si el malware debe continuar su ejecuci贸n en el host, y la configuraci贸n ofuscada incrustada en 茅l. Las modificaciones tambi茅n se extienden a ofuscar los nombres de los m贸dulos para volar bajo el radar.
Uno de los m贸dulos, previamente denominados estrategia, es responsable de una serie de verificaciones de entorno para garantizar que no se est茅 ejecutando en un entorno de sandboxed. Adem谩s, verifica los procesos de ejecuci贸n en una lista de los prohibidos, obtiene el fondo de pantalla actual y lo verifica contra uno codificado que representa la caja de arena de triaje.
Tambi茅n ejecuta un cheque para confirmar si el nombre de usuario actual coincide con cualquier cosa que se asemeja a los utilizados para las cajas de arena, y compara el HWID (identificador de hardware) de la m谩quina con una lista predefinida, una vez m谩s para determinar la presencia de una caja de arena. Solo cuando se pasan todas estas verificaciones que la muestra procede a establecer una conexi贸n con un servidor de comando y control (C2) para obtener el componente central del robador.
La carga 煤til se oculta utilizando t茅cnicas esteganogr谩ficas, ya sea como un archivo WAV, JPEG o PNG, desde donde se extrae, descifr贸 y se lanz贸. Vale la pena se帽alar que descifrar el paquete del PNG requiere un secreto compartido que se acuerda durante la fase inicial de la comunicaci贸n C2.
El m贸dulo Stealer, para su parte, est谩 equipado con un corredor Lua incorporado que sirve complementos adicionales escritos en el lenguaje de programaci贸n para facilitar el robo de datos y realizar una extensa huella digital de dispositivos y navegadores.
芦La 煤ltima variante representa una evoluci贸n en lugar de una revoluci贸n. Los analistas deben actualizar sus analizadores de configuraci贸n, monitorear la entrega de carga 煤til basada en PNG, rastrear los cambios en los formatos de ID de Mutex y Bot, y esperar una mayor rotaci贸n en la ofuscaci贸n a medida que las herramientas se ponen al d铆a禄, dijo Check Point.
芦Actualmente, el desarrollo es m谩s lento y m谩s estable: el dise帽o central permanece intacto, con cambios centrados en los refinamientos, como los nuevos componentes del robador, los cambios en la ofuscaci贸n y las opciones de personalizaci贸n m谩s avanzadas禄.
