Разработчики вредоносного ПО для кражи информации, известного как Rhadamanthys, активно совершенствуют его функции, расширяя возможности сбора информации, а также внедряют систему плагинов, чтобы сделать его более настраиваемым.
Такой подход не только превращает его в угрозу, способную удовлетворить "конкретные потребности распространителя", но и делает его более мощным, говорится в техническом обзоре Check Point, опубликованном на прошлой неделе.
Rhadamanthys, впервые задокументированный ThreatMon в октябре 2022 года, был продан по модели malware-as-a-service (MaaS) еще в сентябре 2022 года актером под псевдонимом "kingcrete2022".
Обычно распространяемое через вредоносные веб-сайты, зеркально отражающие подлинное программное обеспечение, рекламируемое через рекламу Google, вредоносное ПО способно собирать широкий спектр конфиденциальной информации со скомпрометированных хостов, в том числе из веб-браузеров, криптокошельков, почтовых клиентов, VPN и приложений для обмена мгновенными сообщениями.
"Rhadamanthys представляет собой шаг в зарождающейся традиции вредоносного ПО, которое пытается сделать как можно больше, а также демонстрацию того, что в бизнесе вредоносного ПО наличие сильного бренда - это все", - отметила израильская фирма по кибербезопасности в марте 2022 года.
В ходе последующего расследования этого готового вредоносного ПО в августе было выявлено, что "дизайн и реализация" совпадают с разработкой Hidden Bee coin miner.
"Сходство очевидно на многих уровнях: пользовательские исполняемые форматы, использование похожих виртуальных файловых систем, идентичные пути к некоторым компонентам, повторно используемые функции, аналогичное использование стеганографии, использование LUA-скриптов и в целом аналогичный дизайн", - сказали исследователи, описав разработку вредоносного ПО как "быстро развивающуюся и непрерывную".
На момент написания статьи текущая рабочая версия Rhadamanthys составляет 0.5.2, согласно описанию на Telegram-канале исполнителя угрозы.
Анализ версий 0.5.0 и 0.5.1 Check Point выявил новую систему плагинов, которая фактически делает его больше похожим на швейцарский армейский нож, что указывает на сдвиг в сторону модульности и кастомизации. Это также позволяет клиентам stealer использовать дополнительные инструменты, адаптированные к их целям.
Компоненты stealer являются как активными, способными открывать процессы и внедрять дополнительные полезные нагрузки, предназначенные для облегчения кражи информации, так и пассивными, которые предназначены для поиска и анализа определенных файлов для извлечения сохраненных учетных данных.
Еще одним примечательным аспектом является использование программы запуска Lua-скриптов, которая может загружать до 100 Lua-скриптов для кражи как можно большего количества информации из криптовалютных кошельков, почтовых агентов, FTP-сервисов, приложений для создания заметок, мессенджеров мгновенного доступа, VPN, приложений двухфакторной аутентификации и менеджеров паролей.
Версия 0.5.1 делает еще один шаг вперед, добавляя функциональность clipper для изменения данных буфера обмена, соответствующих адресам кошельков, для перенаправления криптовалютных платежей на кошелек, контролируемый злоумышленником, а также возможность восстановления файлов cookie аккаунта Google по примеру Lumma Stealer.
"Автор продолжает расширять набор доступных функций, пытаясь сделать его не только похитителем, но и многофункциональным ботом, позволяя ему загружать несколько расширений, созданных распространителем", - сказала исследователь безопасности Александра "Хашерезаде" Дониец.
"Добавленные функции, такие как кейлоггер и сбор информации о системе, также являются шагом к превращению его в шпионское ПО общего назначения".
Аналогично тому, как Rhadamanthys выполняет внедрение кода в запущенные процессы, многоступенчатый процесс завершается внедрением полезной нагрузки AsyncRAT во вновь созданное вредоносное ПО. aspnet_compiler.exe процесс окончательного установления контакта с командно-контрольным сервером (C2).
"Бэкдор AsyncRAT обладает другими возможностями в зависимости от встроенной конфигурации", - сказали исследователи безопасности Бадди Тансио, Фе Кюрег и Мария Эмрин Вирэй. "Сюда входят проверки на отладку и анализ, установка персистентности и ведение кейлоггинга".
Оно также предназначено для сканирования определенных папок в каталоге приложений, расширений браузера и пользовательских данных на предмет наличия криптовалютных кошельков. Кроме того, было замечено, что субъекты угрозы намеренно скрывают свою деятельность, используя динамическую DNS (DDNS).
"Использование динамических хост-серверов позволяет субъектам угрозы беспрепятственно обновлять свои IP-адреса, повышая их способность оставаться незамеченными в системе", - заявили исследователи.
Такой подход не только превращает его в угрозу, способную удовлетворить "конкретные потребности распространителя", но и делает его более мощным, говорится в техническом обзоре Check Point, опубликованном на прошлой неделе.
Rhadamanthys, впервые задокументированный ThreatMon в октябре 2022 года, был продан по модели malware-as-a-service (MaaS) еще в сентябре 2022 года актером под псевдонимом "kingcrete2022".
Обычно распространяемое через вредоносные веб-сайты, зеркально отражающие подлинное программное обеспечение, рекламируемое через рекламу Google, вредоносное ПО способно собирать широкий спектр конфиденциальной информации со скомпрометированных хостов, в том числе из веб-браузеров, криптокошельков, почтовых клиентов, VPN и приложений для обмена мгновенными сообщениями.
"Rhadamanthys представляет собой шаг в зарождающейся традиции вредоносного ПО, которое пытается сделать как можно больше, а также демонстрацию того, что в бизнесе вредоносного ПО наличие сильного бренда - это все", - отметила израильская фирма по кибербезопасности в марте 2022 года.
В ходе последующего расследования этого готового вредоносного ПО в августе было выявлено, что "дизайн и реализация" совпадают с разработкой Hidden Bee coin miner.
"Сходство очевидно на многих уровнях: пользовательские исполняемые форматы, использование похожих виртуальных файловых систем, идентичные пути к некоторым компонентам, повторно используемые функции, аналогичное использование стеганографии, использование LUA-скриптов и в целом аналогичный дизайн", - сказали исследователи, описав разработку вредоносного ПО как "быстро развивающуюся и непрерывную".
На момент написания статьи текущая рабочая версия Rhadamanthys составляет 0.5.2, согласно описанию на Telegram-канале исполнителя угрозы.
Анализ версий 0.5.0 и 0.5.1 Check Point выявил новую систему плагинов, которая фактически делает его больше похожим на швейцарский армейский нож, что указывает на сдвиг в сторону модульности и кастомизации. Это также позволяет клиентам stealer использовать дополнительные инструменты, адаптированные к их целям.
Компоненты stealer являются как активными, способными открывать процессы и внедрять дополнительные полезные нагрузки, предназначенные для облегчения кражи информации, так и пассивными, которые предназначены для поиска и анализа определенных файлов для извлечения сохраненных учетных данных.
Еще одним примечательным аспектом является использование программы запуска Lua-скриптов, которая может загружать до 100 Lua-скриптов для кражи как можно большего количества информации из криптовалютных кошельков, почтовых агентов, FTP-сервисов, приложений для создания заметок, мессенджеров мгновенного доступа, VPN, приложений двухфакторной аутентификации и менеджеров паролей.
Версия 0.5.1 делает еще один шаг вперед, добавляя функциональность clipper для изменения данных буфера обмена, соответствующих адресам кошельков, для перенаправления криптовалютных платежей на кошелек, контролируемый злоумышленником, а также возможность восстановления файлов cookie аккаунта Google по примеру Lumma Stealer.
"Автор продолжает расширять набор доступных функций, пытаясь сделать его не только похитителем, но и многофункциональным ботом, позволяя ему загружать несколько расширений, созданных распространителем", - сказала исследователь безопасности Александра "Хашерезаде" Дониец.
"Добавленные функции, такие как кейлоггер и сбор информации о системе, также являются шагом к превращению его в шпионское ПО общего назначения".
Внедрение кода AsyncRAT в aspnet_compiler.exe
Trend Micro подробно описала новые цепочки асинхронных заражений, которые используют законный процесс Microsoft под названием aspnet_compiler.exe, который используется для предварительной компиляции ASP.NET веб-приложения для скрытого развертывания троянца удаленного доступа (RAT) посредством фишинговых атак.Аналогично тому, как Rhadamanthys выполняет внедрение кода в запущенные процессы, многоступенчатый процесс завершается внедрением полезной нагрузки AsyncRAT во вновь созданное вредоносное ПО. aspnet_compiler.exe процесс окончательного установления контакта с командно-контрольным сервером (C2).
"Бэкдор AsyncRAT обладает другими возможностями в зависимости от встроенной конфигурации", - сказали исследователи безопасности Бадди Тансио, Фе Кюрег и Мария Эмрин Вирэй. "Сюда входят проверки на отладку и анализ, установка персистентности и ведение кейлоггинга".
Оно также предназначено для сканирования определенных папок в каталоге приложений, расширений браузера и пользовательских данных на предмет наличия криптовалютных кошельков. Кроме того, было замечено, что субъекты угрозы намеренно скрывают свою деятельность, используя динамическую DNS (DDNS).
"Использование динамических хост-серверов позволяет субъектам угрозы беспрепятственно обновлять свои IP-адреса, повышая их способность оставаться незамеченными в системе", - заявили исследователи.
