Разработчиците на зловредния софтуер за кражба на информация Rhadamanthys наскоро пуснаха две основни версии, за да добавят подобрения и усъвършенствания във всички области, включително нови възможности за кражба и подобрено избягване на откриване.
Rhadamanthys е крадец на информация на C++, който се появява за първи път през август 2022 г., като се насочва към идентификационни данни за имейл, FTP и акаунти за услуги за онлайн банкиране.
Крадецът се продава на киберпрестъпниците чрез абонаментен модел, така че се разпространява до целите с помощта на различни канали, включително злонамерени изтегляния, подплатени торенти, имейли, видеоклипове в YouTube и др.
Въпреки че първоначално не получи голямо внимание на претъпкания пазар на информационни крадци, Rhadamanthys продължи да се усъвършенства, като се основаваше на модулния си характер, за да добавя нови функции при необходимост.
Изследователи от Check Point разгледаха двете последни версии на Rhadamanthys и съобщиха за добавянето на многобройни промени и функции, които разширяват неговите възможности за кражба и шпионски функции.
Активно разработван зловреден софтуер
Check Point анализира версията 0.5.0 на Rhadamanthys и съобщава, че в нея е въведена нова система от плъгини, която позволява по-високи нива на персонализация за специфични нужди на разпространението.
Плъгините биха могли да добавят разнообразни възможности към зловредния софтуер, като същевременно позволяват на киберпрестъпниците да сведат до минимум отпечатъка си, като зареждат само тези, които са им необходими във всеки отделен случай.
Новата система за плъгини показва преминаване към по-модулна и приспособима рамка, тъй като позволява на заплахите да внедряват плъгини, съобразени с техните цели, противодействащи на мерките за сигурност, идентифицирани по време на етапите на разузнаване, или използващи специфични уязвимости.
Приставката, включена в пакета на Rhadamanthys, е „Data Spy“ (Шпиониране на данни), която може да следи за успешни опити за влизане в RDP и да улавя идентификационните данни на жертвата.
Изданието 0.5.0 също така донесе подобрено конструиране на кочани и процес на изпълнение на клиенти, поправки на системата, която се насочва към портфейли за криптовалути, и поправки на придобиването на токени Discord.
Други забележителни подобрения включват подобрено крадене на данни от браузърите, актуализирани настройки за търсене в потребителския панел и опция за промяна на известията в Telegram.
Check Point отбелязва, че зареждащото устройство за злонамерен софтуер е пренаписано, за да включва проверки срещу анализ, вградена конфигурация и пакет с модули за следващия етап (XS1).
По-нататъшният анализ разкри съществуването на следните модули, зареждани от XS1, пет от които са нови във версия 0.5.0 на Rhadamanthys и са насочени към избягване.
Зареждащият модул XS1 разопакова тези модули и установява връзка със сървъра C2 (командване и контрол), откъдето получава и стартира допълнителни модули, включително пасивни и активни крадци.
Пасивните крадци са по-малко натрапчиви компоненти за кражба на информация, които претърсват директории, наблюдават приложенията за обмен на чувствителни данни, потребителски записи и др.
Активните крадци са по-инвазивни и включват следене на клавишите, заснемане на екрана и инжектиране на код в работещи процеси, за да извлекат възможно най-много данни.
Докато Check Point анализира версия 0.5.0, операторите на Rhadamanthys пуснаха версия 0.5.1, което е знак за много активна разработка.
Check Point нямаше възможност да се потопи в дълбочина в новата версия на крадеца на информация, но новите функции, обявени от киберпрестъпниците, са впечатляващи, дори и все още да не са потвърдени.
Накратко, версия 0.5.1 въвежда:
- Нова приставка Clipper, която модифицира данните от клипборда, за да пренасочи криптоплащания към нападателя.
- Опции за уведомяване в Telegram за ексфилтриране на крак на портфейла и семена в ексфилтрирания ZIP
- Възможност за възстановяване на изтрити бисквитки от профила в Google (за първи път съобщено тук)
- Възможност за заобикаляне на Windows Defender, включително защитата в облака, чрез почистване на неговия клон.
Разработката на Rhadamanthys върви бързо, като всяка нова версия добавя функции, които правят инструмента по-страховит и по-примамлив за киберпрестъпниците.
Няма да е изненадващо, ако участниците в заплахите преминат към Rhadamanthys с развитието на инструмента.
Базова информация: Check Point