Los desarrolladores del malware conocido como Rhadamanthys están llevando a cabo mejoras activas en sus características, ampliando sus capacidades de recopilación de información e incorporando un sistema de complementos para aumentar su personalización.
Este enfoque no solo lo convierte en una amenaza capaz de satisfacer las “necesidades específicas de los distribuidores”, sino que también lo potencia, según señaló Check Point en un análisis técnico detallado publicado la semana pasada.
Rhadamanthys, inicialmente documentado por ThreatMon en octubre de 2022, se ha vendido bajo el modelo de malware como servicio (MaaS) desde al menos septiembre de 2022, por un actor que usa el seudónimo “kingcrete2022”.
Este malware suele distribuirse a través de sitios web maliciosos que imitan a los de software genuino anunciado mediante anuncios de Google. Es capaz de recopilar una amplia gama de información confidencial de los sistemas comprometidos, incluyendo datos de navegadores web, billeteras criptográficas, clientes de correo electrónico, VPN y aplicaciones de mensajería instantánea.
“Rhadamanthys representa un avance en la creciente tradición de malware que busca hacer todo lo posible, además de demostrar que en el negocio del malware, contar con una marca fuerte lo es todo”, señaló la firma israelí de ciberseguridad en marzo de 2022.
Investigaciones posteriores sobre el malware en agosto revelaron que el “diseño e implementación” se superponen con los del minero de criptomonedas Hidden Bee.
“La similitud es evidente en muchos niveles: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas idénticas a algunos de los componentes, funciones reutilizadas, uso similar de esteganografía, uso de scripts LUA y diseño análogo en general”, dijeron los investigadores, describiendo el desarrollo del malware como “rápido y continuo”.
En el momento de redactar este artículo, la versión funcional actual de Rhadamanthys es 0.5.2, según la descripción en el canal Telegram del actor de amenazas.
El análisis de Check Point de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de complementos que efectivamente convierte al malware en una navaja suiza, indicando un cambio hacia la modularización y la personalización. Esto permite a los clientes del malware implementar herramientas adicionales adaptadas a sus objetivos.
Los componentes del malware son tanto activos, capaces de abrir procesos e inyectar cargas útiles adicionales diseñadas para facilitar el robo de información, como pasivos, diseñados para buscar y analizar archivos específicos para recuperar credenciales guardadas.
Otro aspecto notable es el uso de un ejecutador de scripts Lua que puede cargar hasta 100 scripts Lua para robar la mayor cantidad de información posible de billeteras de criptomonedas, agentes de correo electrónico, servicios FTP, aplicaciones para tomar notas, mensajería instantánea, VPN y autenticación de dos factores. aplicaciones y administradores de contraseñas.
La versión 0.5.1 va un paso más allá y agrega la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar pagos en criptomonedas a una billetera controlada por el atacante, así como una opción para recuperar las cookies de la cuenta de Google, siguiendo los pasos de Lumma Stealer.
“El autor sigue enriqueciendo el conjunto de funciones disponibles, tratando de convertirlo no solo en un ladrón sino en un robot multipropósito, permitiéndole cargar múltiples extensiones creadas por un distribuidor”, dijo la investigadora de seguridad Aleksandra “Hasherezade” Doniec.
“Las funciones añadidas, como un registrador de teclas y la recopilación de información sobre el sistema, también representan un paso hacia la transformación en un software espía de uso general”.
La revelación de estos hallazgos coincide con el detalle de nuevas cadenas de infección de AsyncRAT por Trend Micro. Estas cadenas aprovechan un proceso legítimo de Microsoft llamado aspnet_compiler.exe, utilizado para precompilar aplicaciones web ASP.NET, para implementar sigilosamente el troyano de acceso remoto (RAT) mediante ataques de phishing.
De manera similar a la inyección de código realizada por Rhadamanthys en procesos en ejecución, el proceso de varias etapas culmina con la inyección de la carga útil de AsyncRAT en un proceso aspnet_compiler.exe recién generado, estableciendo finalmente contacto con un servidor de comando y control (C2).
“La puerta trasera AsyncRAT tiene otras capacidades dependiendo de la configuración integrada”, explicaron los investigadores de seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. “Esto incluye comprobaciones de análisis y antidepuración, instalación persistente y registro de teclas”.
Además, está diseñada para explorar carpetas específicas dentro del directorio de la aplicación, extensiones de navegador y datos del usuario para verificar la presencia de billeteras criptográficas. Además de eso, los actores de amenazas confían en el uso de servidores host dinámicos (DDNS) para ocultar deliberadamente sus actividades.
“El uso de servidores host dinámicos permite a los actores de amenazas actualizar sin problemas sus direcciones IP, fortaleciendo su capacidad para permanecer sin ser detectados dentro del sistema”, destacaron los investigadores.