Los desarrolladores del malware de robo de información conocido como Rhadamanthys están iterando activamente sus funciones, ampliando sus capacidades de recopilación de información y también incorporando una sistema de complementos para hacerlo más personalizable.
Este enfoque no sólo lo transforma en una amenaza capaz de satisfacer «necesidades específicas del distribuidor» pero también lo hace más potente, afirmó Check Point en un análisis técnico profundo publicado la semana pasada.
Rhadamanthys, documentado por primera vez por ThreatMon en octubre de 2022, se vendió bajo el modelo de malware como servicio (MaaS) como en septiembre de 2022 por un actor bajo el alias «kingcrete2022».
El malware, que normalmente se distribuye a través de sitios web maliciosos que reflejan los del software original que se anuncia a través de anuncios de Google, es capaz de recopilar una amplia gama de información confidencial de los hosts comprometidos, incluidos navegadores web, billeteras criptográficas, clientes de correo electrónico, VPN y aplicaciones de mensajería instantánea.
«Rhadamanthys representa un paso en la tradición emergente del malware que intenta hacer todo lo posible, y también una demostración de que en el negocio del malware, tener una marca fuerte lo es todo», afirmó. la empresa israelí de ciberseguridad señaló en marzo de 2022.
Una investigación posterior sobre el malware disponible en agosto reveló el «diseño e implementación» se superpone con el del minero de monedas Hidden Bee.
«La similitud es evidente en muchos niveles: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas idénticas a algunos de los componentes, funciones reutilizadas, uso similar de esteganografía, uso de scripts LUA y diseño análogo en general», afirma. dijeron los investigadores, describiendo el desarrollo del malware como «rápido y continuo».
Al momento de escribir este artículo, la versión funcional actual de Rhadamanthys es 0.5.2, según la descripción en el Telegram del actor de la amenaza. canal.
El análisis de Check Point de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de complementos que efectivamente lo convierte en una navaja suiza, lo que indica un cambio hacia la modularización y la personalización. Esto también permite a los clientes ladrones implementar herramientas adicionales adaptadas a sus objetivos.
Los componentes del ladrón son tanto activos, capaces de abrir procesos e inyectar cargas útiles adicionales diseñadas para facilitar el robo de información, como pasivos, que están diseñados para buscar y analizar archivos específicos para recuperar credenciales guardadas.
Otro aspecto notable es el uso de un ejecutador de scripts Lua que puede cargar hasta 100 scripts Lua para robar la mayor cantidad de información posible de billeteras de criptomonedas, agentes de correo electrónico, servicios FTP, aplicaciones para tomar notas, mensajería instantánea, VPN y autenticación de dos factores. aplicaciones y administradores de contraseñas.
La versión 0.5.1 va un paso más allá y agrega la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar los pagos de criptomonedas a una billetera controlada por el atacante, así como una opción para recuperar las cookies de la cuenta de Google, siguiendo los pasos de < /span>.Ladrona de Lumma
«El autor sigue enriqueciendo el conjunto de funciones disponibles, intentando convertirlo no sólo en un ladrón sino en un robot multipropósito, permitiéndole cargar múltiples extensiones creadas por un distribuidor», afirma. La investigadora de seguridad Aleksandra «Hasherezade» Dijo Doniec.
«Las funciones adicionales, como un registrador de teclas y la recopilación de información sobre el sistema, también son un paso para convertirlo en un software espía de uso general».
Inyección de código de AsyncRAT en aspnet_compiler.exe
Los hallazgos se producen mientras Trend Micro detalla nuevas cadenas de infección AsyncRAT que aprovechan un proceso legítimo de Microsoft llamado aspnet_compiler.exe, que se utiliza para la precompilación. Aplicaciones web ASP.NET, para implementar sigilosamente el troyano de acceso remoto (RAT) mediante ataques de phishing.
De manera similar a cómo Rhadamanthys lleva a cabo la inyección de código en los procesos en ejecución, el proceso de varias etapas culmina con la inyección de la carga útil AsyncRAT en un proceso aspnet_compiler.exe recién generado para finalmente establecer contacto con un servidor de comando y control (C2).
«La puerta trasera AsyncRAT tiene otras capacidades dependiendo de la configuración integrada», afirma. dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. «Esto incluye comprobaciones de análisis y antidepuración, instalación persistente y registro de teclas».
También está diseñado para escanear carpetas particulares dentro del directorio de la aplicación, extensiones del navegador y datos del usuario para verificar la presencia de billeteras criptográficas. Además de eso, se ha observado que los actores de amenazas dependen del DNS dinámico (DDNS) para ofuscar deliberadamente sus actividades.
«El uso de servidores host dinámicos permite a los actores de amenazas actualizar sin problemas sus direcciones IP, fortaleciendo su capacidad para permanecer sin ser detectados dentro del sistema», afirma. dijeron los investigadores.
Fuente y redacción: thehackernews.com
