Recentemente, il gruppo di sviluppatori di Rhadamanthys ha rilasciato due nuove versioni del malware, migliorandolo e potenziandone le capacità di evasione
Rhadamanthys è un trafugatore di informazioni scritto in linguaggio C++ che ha fatto la sua comparsa nell’agosto del 2022, concentrandosi sulle credenziali degli account di e-mail, FTP e servizi bancari online.
Il malware viene commercializzato attraverso un modello di abbonamento e viene diffuso tra gli obiettivi attraverso vari canali, come malvertising, download di torrent, e-mail, video di YouTube, e altri metodi.
Nonostante inizialmente abbia attirato poco interesse nel saturato mercato degli info-stealer, Rhadamanthys ha continuato a evolversi, sfruttando la sua natura modulare per introdurre nuove funzionalità secondo le esigenze.
Come funziona il nuovo malware
Gli esperti di sicurezza di Check Point hanno esaminato le due versioni più recenti di Rhadamanthys e hanno notato l’implementazione di numerose modifiche e aggiunte che ampliano le sue capacità di furto e spionaggio.
La versione 0.5.0 di Rhadamanthys ha introdotto un nuovo sistema di plugin, consentendo una maggiore personalizzazione per adattarsi alle specifiche esigenze di distribuzione. Questi plugin possono aggiungere una vasta gamma di funzionalità al malware, permettendo ai criminali di ridurre al minimo la loro impronta caricando solo quelli necessari per le operazioni.
Il nuovo sistema di plugin rappresenta un passaggio verso un framework più modulare e personalizzabile, consentendo ai malintenzionati di distribuire plugin su misura per i loro obiettivi, eludendo le misure di sicurezza identificate durante la fase di ricognizione o sfruttando vulnerabilità specifiche.
Un esempio di plugin incluso con Rhadamanthys è “Data Spy”, che monitora i tentativi di accesso RDP riusciti e acquisisce le credenziali della vittima.
La versione 0.5.0 ha anche migliorato la costruzione degli stub, il processo di esecuzione dei client, apportato correzioni al sistema che mira ai portafogli di criptovalute e ha corretto il processo di acquisizione dei token Discord.
Il loader del malware è stato riscritto per includere controlli anti-analisi, una configurazione integrata e un pacchetto con moduli per la fase successiva denominato XS1. L’analisi ha rivelato l’esistenza di nuovi moduli concentrati sull’evasione nella versione 0.5.0 di Rhadamanthys.
XS1 scompatta questi moduli e stabilisce la comunicazione con il server C2 (comando e controllo), ricevendo e lanciando moduli aggiuntivi, tra cui stealer passivi e attivi.
Data stealer attivi e passivi
Gli stealer passivi sono meno intrusivi e cercano informazioni nelle directory, monitorano le applicazioni per lo scambio di dati sensibili, e altro ancora.
Gli stealer attivi sono più invasivi e coinvolgono keylogging, cattura dello schermo e iniezione di codice nei processi in esecuzione per esfiltrare più dati possibile.
Con l’uscita della versione 0.5.1, Check Point non ha ancora potuto esaminare a fondo il nuovo aggiornamento, ma le nuove funzionalità annunciate dai criminali informatici sembrano impressionanti.
La nuova versione introduce un nuovo plugin chiamato Clipper, che modifica i dati degli appunti per deviare verso l’aggressore i pagamenti in criptovaluta. Include anche opzioni di notifica su Telegram per esfiltrare dati relativi al portafoglio in un file ZIP, la capacità di recuperare i cookie dell’account Google cancellati e la possibilità di eludere Windows Defender, compresa la protezione cloud, pulendo lo stub.
La rapida evoluzione di Rhadamanthys, le cui nuove versioni aggiungono innovazione, rende lo strumento sempre più efficace e attraente per i criminali informatici che hanno iniziato ad impiegarlo per le proprie campagne di hacking.
Autore: Marco Marra