Permite implementar herramientas adicionales adaptadas a sus objetivos
Los desarrolladores del malware ladrón de información conocido como Rhadamanthys están iterando activamente sus funciones, ampliando sus capacidades de recopilación de información y también incorporando un sistema de plugins para hacerlo más personalizable.
Este enfoque no sólo lo transforma en una amenaza capaz de satisfacer "necesidades específicas de los distribuidores", sino que también lo hace más potente, dijo Check Point en un análisis técnico profundo publicado la semana pasada.
Rhadamanthys, documentado por primera vez por ThreatMon en octubre de 2022, fue vendido bajo el modelo de malware como servicio (MaaS) ya en septiembre de 2022 por un actor bajo el alias "kingcrete2022".
El malware, que normalmente se distribuye a través de sitios web maliciosos que reflejan los del software original que se anuncia a través de anuncios de Google, es capaz de recopilar una amplia gama de información confidencial de los hosts comprometidos, incluso desde navegadores web, billeteras criptográficas, clientes de correo electrónico, VPN y aplicaciones de mensajería instantánea.
"Rhadamanthys representa un paso en la tradición emergente del malware que intenta hacer todo lo posible, y también una demostración de que en el negocio del malware, tener una marca fuerte lo es todo", señaló la firma israelí de ciberseguridad en marzo de 2022.
Una investigación posterior sobre el malware disponible en agosto reveló que el "diseño e implementación" se superponen con los del minero de monedas Hidden Bee.
"La similitud es evidente en muchos niveles: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas idénticas a algunos de los componentes, funciones reutilizadas, uso similar de esteganografía, uso de scripts LUA y diseño análogo en general", dijeron los investigadores, describiendo el desarrollo del malware como "rápido y continuo".
Al momento de escribir este artículo, la versión funcional actual de Rhadamanthys es 0.5.2, según la descripción en el canal Telegram del actor de amenazas.
El análisis de Check Point de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de plugins que efectivamente lo convierte en una navaja suiza, lo que indica un cambio hacia la modularización y la personalización. Esto también permite a los clientes ladrones implementar herramientas adicionales adaptadas a sus objetivos.
Los componentes del ladrón son tanto activos, capaces de abrir procesos e inyectar cargas útiles adicionales diseñadas para facilitar el robo de información, como pasivos, que están diseñados para buscar y analizar archivos específicos para recuperar credenciales guardadas.
Otro aspecto notable es el uso de un ejecutador de scripts Lua que puede cargar hasta 100 scripts Lua para robar la mayor cantidad de información posible de billeteras de criptomonedas, agentes de correo electrónico, servicios FTP, aplicaciones para tomar notas, mensajería instantánea, VPN, aplicaciones de autenticación de dos factores y administradores de contraseñas.
La versión 0.5.1 va un paso más allá y agrega la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar pagos en criptomonedas a una billetera controlada por el atacante, así como una opción para recuperar las cookies de la cuenta de Google, siguiendo los pasos de Lumma Stealer.
"El autor sigue enriqueciendo el conjunto de funciones disponibles, intentando convertirlo no sólo en un ladrón sino en un robot multipropósito, permitiéndole cargar múltiples extensiones creadas por un distribuidor", dijo la investigadora de seguridad Aleksandra "Hasherezade" Doniec.
"Las funciones añadidas, como un registrador de teclas y la recopilación de información sobre el sistema, también son un paso para convertirlo en un software espía de uso general".