Los actores de amenaza detrás de Rhadamanthys promueven otras dos herramientas en su sitio web, llamada Elysium Proxy Bot y Crypt Service, a pesar de ser actualizadas para apoyar la capacidad de la información insignia de los Steelers para recopilar huellas digitales y más sobre sus dispositivos y navegadores web.
«Rhadamanthys fue inicialmente promovido a través de una publicación en el foro del delito cibernético, pero pronto quedó claro que el autor tenía planes más ambiciosos para conectarse con clientes potenciales y generar visibilidad.
Primero promovido por un actor de amenaza llamado KingCrete2022, Rhadamanthys se ha convertido en uno de los Steelers de información más populares disponibles bajo Lumma, Vidar, STEALC y más recientemente Lumma, Vidar, STEALC y más recientemente Malware como Modelo de Servicio (MAAS). La versión actual de Steeler es 0.9.2.
Con los años, las capacidades de los Steelers han ido mucho más allá de la simple recopilación de datos, lo que representa una amenaza integral para la seguridad personal y corporativa. En un análisis de la versión de malware 0.7.0 en octubre pasado, el futuro registrado detalló la adición de una nueva característica de inteligencia artificial (AI) en el reconocimiento de caracteres ópticos (OCR) para capturar frases de semillas de billetera de criptomonedas.
Los últimos hallazgos de Checkpoint muestran que los actores de amenazas se vuelven a marcar como «seguridad Rhad» y «laboratorio de origen mítico» y vendiendo lo que ofrecen como «soluciones inteligentes para la innovación y la eficiencia».
Rhadamanthys ofrece tres paquetes escalonados, a partir de una versión autohospedada de $ 299 por mes a $ 499 por mes con ventajas adicionales como soporte técnico preferido, servidores y acceso avanzado de API. Los clientes potenciales también pueden comprar planes empresariales contactando directamente a su equipo de ventas.
«La combinación de marcas, cartera de productos y estructuras de precios sugiere que los autores tratan a Rhadamanthys como una empresa comercial a largo plazo en lugar de un proyecto paralelo», dijo Hasherezade. «Para los defensores, esta especialización muestra que Rhadamanthys, que tiene una base de clientes y un ecosistema creciente, es probable que se quede aquí, lo que indica que es importante rastrear no solo las actualizaciones de malware, sino también la infraestructura comercial que lo mantiene».
Al igual que Lumma Versión 4.0, Rhadamanthys Versión 0.9.2 incluye la capacidad de evitar que la fuga de artefactos se filtre mostrando alertas de usuarios que les permiten completar la ejecución de malware sin dañar la máquina en ejecución.
Esto se hace para evitar que los distribuidores de malware se propagen ejecutables tempranos en sus formatos no protegidos, para que los distribuidores de malware reduzcan los esfuerzos de detección y los sistemas infectados en el proceso. Dicho esto, los mensajes de alerta pueden ser los mismos para ambos Steelers, pero la implementación es completamente diferente, y el punto de control sugiere «imitación a nivel de superficie».
«En Lumma, la apertura y la lectura de archivos se implementa a través de syscalls sin procesar, y los cuadros de mensajes se realizan a través de NtraiseHardError». «En Rhadamanthys, no se usan syscalls sin procesar y MessagesBoxw muestra el mismo MessageBox. Ambos cargadores están ofuscados, pero el patrón de ofuscación es diferente».
Otras actualizaciones de Rhadamanthys incluyen ajustes menores al formato XS personalizado utilizado para enviar módulos ejecutables, y las verificaciones realizadas para ver si el malware debe continuar ejecutándose en el host, y la configuración ofuscada está incrustada. Los cambios también se extienden a ofuscar el nombre del módulo y volar debajo del radar.
Uno de los módulos anteriormente conocidos como estrategia es responsable de una serie de controles ambientales para garantizar que no funcionen en un entorno de Sandbox. Además, verifica el proceso de ejecución en una lista de procesos prohibidos, recupera el fondo de pantalla actual y lo verifica contra los codificados que representan el sandbox de triaje.
También verifica si el nombre de usuario actual coincide con algo similar a lo que se usa para el sandbox, verifica si el HWID (identificador de hardware) de la máquina se compara con una lista predefinida y verifica la presencia del sandbox. Solo cuando se pasen todas estas verificaciones, la muestra establecerá una conexión con el servidor de comando y control (C2) para obtener los componentes centrales del Steeler.
La carga útil está oculta utilizando técnicas de esteganografía extraídas, descifradas y lanzadas, ya sea como archivos WAV, JPEG o PNG. Vale la pena señalar que descifrar un paquete de un PNG requiere un secreto compartido acordado en las primeras etapas de la comunicación C2.
El módulo de Stealer incorpora un corredor LUA que proporciona complementos adicionales escritos en un lenguaje de programación para facilitar el robo de datos e implementar huellas digitales en una amplia gama de dispositivos y navegadores.
«Las últimas variantes representan la evolución en lugar de la revolución. Los analistas deben actualizar sus analizadores de configuración, monitorear la entrega de carga útil basada en PNG, rastrear los cambios en los formatos de ID de Mutex y Bot y esperar una mayor cancelación de la ofuscación a medida que las herramientas se ponen al día», dijo Check Point.
«Actualmente, el desarrollo es más lento y más estable. El diseño del núcleo permanece intacto, centrándose en mejoras como nuevos componentes Steeler, cambio de ofuscación y opciones de personalización más avanzadas».
Source link
