El actor de amenazas detrás Radamantis también ha anunciado en su sitio web otras dos herramientas llamadas Elysium Proxy Bot y Crypt Service, a pesar de que la principal herramienta de robo de información se ha actualizado para permitir recopilar huellas dactilares de dispositivos y navegadores web, entre otras.
«Rhadamanthys se promocionó inicialmente a través de publicaciones en foros sobre ciberdelincuencia, pero pronto quedó claro que la autora tenía un plan más ambicioso para conectarse con clientes potenciales y aumentar su visibilidad», dijo Aleksandra «Hasherezade» Doniec, investigadora de Check Point dijo en un nuevo informe.
Anunciado por primera vez por un actor de amenazas llamado kingcrete2022, Rhadamanthys se ha convertido en uno de los ladrones de información más populares disponibles bajo un modelo de malware como servicio (MaaS) junto con Lumma, Vidar, StealC y, más recientemente, Acreed. La versión actual del ladrón es la 0.9.2.
A lo largo de los años, las capacidades del ladrón se han extendido mucho más allá de la simple recopilación de datos y representan una amenaza integral para la seguridad personal y corporativa. En un análisis de la versión 0.7.0 del malware realizado el pasado mes de octubre, Recorded Future detallada la incorporación de una nueva función de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR) para capturar las frases iniciales de las carteras de criptomonedas.
Los últimos hallazgos de Check Point muestran que los actores de amenazas se rebautizaron como «RHAD security» y «Mythical Origin Labs», y promocionaron sus ofertas como «soluciones inteligentes para la innovación y la eficiencia».
Rhadamanthys está disponible en paquetes de tres niveles, desde 299$ al mes para una versión autohospedada hasta 499$ al mes, e incluye beneficios adicionales, como soporte técnico prioritario, servidor y acceso avanzado a la API. Los clientes potenciales también pueden comprar un plan Enterprise poniéndose en contacto directamente con su equipo de ventas.
«La combinación de la marca, la cartera de productos y la estructura de precios sugiere que los autores tratan a Rhadamanthys como una empresa empresarial a largo plazo y no como un proyecto paralelo», señaló Hasherezade. «Para los defensores, esta profesionalización indica que Rhadamanthys, con su creciente base de clientes y un ecosistema en expansión, probablemente esté aquí para quedarse, por lo que es importante hacer un seguimiento no solo de las actualizaciones de malware, sino también de la infraestructura empresarial que lo sustenta».
Me gusta Lumma versión 4.0 , la versión 0.9.2 de Rhadamanthys incluye una función para evitar la filtración de artefactos desempaquetados al mostrar al usuario una alerta que le permite finalizar la ejecución del malware sin causar ningún daño a la máquina en la que se ejecuta.
Esto se hace en un intento de evitar que los distribuidores de malware propaguen el ejecutable inicial en su forma simple y desprotegida, a fin de reducir los esfuerzos de detección y, al mismo tiempo, infectar sus sistemas. Dicho esto, si bien el mensaje de alerta puede ser el mismo en ambos sistemas robadores, la implementación es completamente diferente, según Check Point, sugiriendo una «imitación superficial».
«En Lumma, la apertura y la lectura del archivo se implementan mediante llamadas al sistema sin procesar, y el cuadro de mensaje se ejecuta mediante nTraiseHardError», señaló. «En Rhadamanthys, no se utilizan llamadas al sistema sin procesar y MessageBoxW muestra el mismo cuadro de mensaje. Ambos cargadores están ofuscados, pero los patrones de ofuscación son diferentes».
Otras actualizaciones de Rhadamanthys se refieren a pequeños ajustes en el formato XS personalizado que se utiliza para enviar los módulos ejecutables, a las comprobaciones ejecutadas para confirmar si el malware debe continuar ejecutándose en el host y a la configuración confusa integrada en él. Las modificaciones también incluyen la ocultación de los nombres de los módulos para que pasen desapercibidos.
Uno de los módulos, anteriormente denominado Estrategia, es responsable de una serie de comprobaciones del entorno para garantizar que no se ejecuta en un entorno aislado. Además, comprueba los procesos en ejecución comparándolos con una lista de elementos prohibidos, obtiene el fondo de pantalla actual y lo compara con uno codificado que representa el entorno limitado de Triage.
También comprueba si el nombre de usuario actual coincide con algo parecido a los utilizados en los entornos limitados y compara el HWID (identificador de hardware) de la máquina con una lista predefinida, una vez más para comprobar la presencia de un entorno aislado. Solo cuando se superan todas estas comprobaciones, el ejemplo establece una conexión con un servidor de comando y control (C2) para buscar el componente principal del ladrón.
La carga útil se oculta mediante técnicas esteganográficas, ya sea como un archivo WAV, JPEG o PNG, desde donde se extrae, descifra y lanza. Vale la pena señalar que para descifrar el paquete a partir del archivo PNG se requiere un secreto compartido que se acuerde durante la fase inicial de la comunicación con el C2.
El módulo Stealer, por su parte, está equipado con un ejecutor Lua incorporado que incluye complementos adicionales escritos en el lenguaje de programación para facilitar el robo de datos y realizar una amplia toma de huellas dactilares del dispositivo y del navegador.
«La última variante representa una evolución más que una revolución. Los analistas deberían actualizar sus analizadores de configuración, supervisar la entrega de la carga útil basada en PNG, hacer un seguimiento de los cambios en los formatos de identificación de bots y mutex, y esperar una mayor confusión a medida que las herramientas se pongan al día», afirma Check Point.
«Actualmente, el desarrollo es más lento y constante: el diseño central permanece intacto, con cambios centrados en las mejoras, como nuevos componentes robadores, cambios en la ofuscación y opciones de personalización más avanzadas».