Οι προγραμματιστές του κακόβουλου λογισμικού κλοπής πληροφοριών Rhadamanthys κυκλοφόρησαν πρόσφατα δύο σημαντικές εκδόσεις για να προσθέσουν βελτιώσεις και βελτιώσεις σε όλους τους τομείς, συμπεριλαμβανομένων νέων δυνατοτήτων κλοπής και βελτιωμένης φοροδιαφυγής.
Το Rhadamanthys είναι ένας κλέφτης πληροφοριών C++ που εμφανίστηκε για πρώτη φορά τον Αύγουστο του 2022, στοχεύοντας διαπιστευτήρια λογαριασμού
email
, FTP και διαδικτυακών τραπεζικών υπηρεσιών.
Ο κλέφτης πωλείται σε εγκληματίες του κυβερνοχώρου μέσω ενός μοντέλου συνδρομής, επομένως διανέμεται σε στόχους χρησιμοποιώντας μια ποικιλία καναλιών, όπως κακόβουλη διαφήμιση, λήψεις torrent με κορδόνια, email, βίντεο YouTube και άλλα.
Αν και αρχικά δεν έλαβε ιδιαίτερη προσοχή στην πολυσύχναστη αγορά των κλεφτών πληροφοριών, το Rhadamanthys συνέχισε να βελτιώνεται, βασιζόμενος στη σπονδυλωτή φύση του για να προσθέτει νέα χαρακτηριστικά όπως απαιτείται.
Ερευνητές στο
Σημείο ελέγχου
εξέτασαν τις δύο τελευταίες εκδόσεις του Rhadamanthys και ανέφεραν την προσθήκη πολλών αλλαγών και χαρακτηριστικών που επεκτείνουν τις δυνατότητες κλοπής και τις λειτουργίες κατασκοπείας.
Ενεργά αναπτυγμένο κακόβουλο λογισμικό
Το Check Point ανέλυσε την έκδοση 0.5.0 του Rhadamanthys και αναφέρει ότι εισήγαγε ένα νέο σύστημα πρόσθετων που επιτρέπει υψηλότερα επίπεδα προσαρμογής για συγκεκριμένες ανάγκες διανομής.
Τα πρόσθετα θα μπορούσαν να προσθέσουν μια ποικιλία δυνατοτήτων στο κακόβουλο λογισμικό, επιτρέποντας ταυτόχρονα στους εγκληματίες του κυβερνοχώρου να ελαχιστοποιήσουν το αποτύπωμά τους φορτώνοντας μόνο αυτά που χρειάζονται σε κάθε περίπτωση.
Το νέο σύστημα πρόσθετων υποδηλώνει μια στροφή προς ένα πιο αρθρωτό και προσαρμόσιμο πλαίσιο, καθώς επιτρέπει στους παράγοντες απειλών να αναπτύσσουν πρόσθετα προσαρμοσμένα στους στόχους τους, εξουδετερώνοντας τα μέτρα ασφαλείας που εντοπίστηκαν κατά τα στάδια
επα
νεξέτασης ή εκμεταλλευόμενοι συγκεκριμένες ευπάθειες.
Ένα πρόσθετο που συνοδεύεται από το Rhadamanthys είναι το “Data Spy”, το οποίο μπορεί να παρακολουθεί για επιτυχημένες προσπάθειες σύνδεσης στο RDP και να καταγράφει τα διαπιστευτήρια του θύματος.
Η έκδοση 0.5.0 έφερε επίσης βελτιωμένη κατασκευή στελέχους και τη διαδικασία εκτέλεσης πελάτη, διορθώσεις στο σύστημα που στοχεύει πορτοφόλια κρυπτονομισμάτων και διορθώσεις στην απόκτηση διακριτικού Discord.
Στοχευμένες εφαρμογές κρυπτογράφησης
(Σημείο ελέγχου)
Άλλες αξιοσημείωτες βελτιώσεις περιλαμβάνουν βελτιωμένη κλοπή δεδομένων από προγράμματα περιήγησης, ενημερωμένες ρυθμίσεις αναζήτησης στον πίνακα χρήστη και μια επιλογή τροποποίησης των ειδοποιήσεων του Telegram.
Το Check Point σημειώνει ότι το πρόγραμμα φόρτωσης κακόβουλου λογισμικού έχει ξαναγραφτεί ώστε να περιλαμβάνει ελέγχους κατά της ανάλυσης, μια ενσωματωμένη διαμόρφωση και ένα πακέτο με λειτουργικές μονάδες για το επόμενο στάδιο (XS1).
Περαιτέρω ανάλυση αποκάλυψε την ύπαρξη των ακόλουθων λειτουργικών μονάδων που φορτώθηκαν από το XS1, πέντε από τα οποία είναι νέα στην έκδοση Rhadamanthys 0.5.0 και επικεντρώνονται στην φοροδιαφυγή.
Ενότητες φορτωμένες από το XS1
(Σημείο ελέγχου)
Ο φορτωτής XS1 αποσυσκευάζει αυτές τις μονάδες και δημιουργεί
επικοινωνία
με τον διακομιστή C2 (εντολή και έλεγχος), από όπου λαμβάνει και εκκινεί πρόσθετες μονάδες, συμπεριλαμβανομένων παθητικών και ενεργών κλεφτών.
Τα παθητικά stealers είναι λιγότερο παρεμβατικά στοιχεία κλοπής πληροφοριών που πραγματοποιούν αναζήτηση μέσω καταλόγων, παρακολούθηση εφαρμογών για ανταλλαγή ευαίσθητων δεδομένων, καταχωρίσεις χρηστών κ.λπ.
Εφαρμογές που στοχεύουν οι παθητικοί κλέφτες του Rhadamanthys
(Σημείο ελέγχου)
Οι ενεργοί κλέφτες είναι πιο επεμβατικοί και περιλαμβάνουν καταγραφή πληκτρολογίου, λήψη οθόνης και έγχυση κώδικα σε διεργασίες που εκτελούνται για την εξαγωγή όσο το δυνατόν περισσότερων δεδομένων.
Εφαρμογές που στοχεύουν οι ενεργοί κλέφτες του κακόβουλου λογισμικού
(Σημείο ελέγχου)
Ενώ η ανάλυση του Check Point για την έκδοση 0.5.0, οι χειριστές Rhadamanthys κυκλοφόρησαν την έκδοση 0.5.1, η οποία είναι ένδειξη πολύ ενεργής ανάπτυξης.
Το Check Point δεν είχε την ευκαιρία να βουτήξει βαθιά στη νέα έκδοση του info-stealer, αλλά τα νέα χαρακτηριστικά που ανακοινώθηκαν από τους
κυβερνοεγκληματίες
είναι εντυπωσιακά, ακόμα κι αν δεν έχουν επιβεβαιωθεί ακόμα.
Εν ολίγοις, το 0.5.1 εισάγει:
- Νέα προσθήκη Clipper, η οποία τροποποιεί τα δεδομένα του προχείρου για να εκτρέπει τις πληρωμές με κρυπτογράφηση στον εισβολέα.
- Επιλογές ειδοποίησης Telegram για την εξαγωγή της ρωγμής και του σπόρου του πορτοφολιού στο αποδιηθημένο ZIP
-
Δυνατότητα ανάκτησης διαγραμμένων cookie Λογαριασμού
Google
(για πρώτη φορά αναφέρθηκε εδώ) - Δυνατότητα αποφυγής του Windows Defender, συμπεριλαμβανομένης της προστασίας cloud, καθαρίζοντας το στέλεχος του.
Εφαρμογές που στοχεύουν η νέα προσθήκη Clipper
(Σημείο ελέγχου)
Η ανάπτυξη του Rhadamanthys προχωρά γρήγορα, με κάθε νέα έκδοση να προσθέτει χαρακτηριστικά που κάνουν το εργαλείο πιο τρομερό και πιο ελκυστικό για τους εγκληματίες του κυβερνοχώρου.
Δεν θα ήταν περίεργο να βρούμε τους παράγοντες απειλής να μεταπηδούν στο Rhadamanthys καθώς εξελίσσεται η ανάπτυξή του.
VIA:
bleepingcomputer.com
