Rhadamanthys là kẻ đánh cắp thông tin C++ xuất hiện lần đầu tiên vào tháng 8 năm 2022, nhắm mục tiêu vào email, FTP và thông tin xác thực tài khoản dịch vụ ngân hàng trực tuyến.
Kẻ đánh cắp được bán cho tội phạm mạng thông qua mô hình đăng ký, do đó, nó được phân phối đến các mục tiêu bằng nhiều kênh khác nhau, bao gồm quảng cáo độc hại, tải xuống torrent, email, video YouTube, v.v.
Mặc dù ban đầu nó không nhận được nhiều sự chú ý trong thị trường đông đảo những kẻ đánh cắp thông tin, Rhadamanthys vẫn tiếp tục cải tiến, dựa trên bản chất mô-đun của nó để bổ sung các tính năng mới khi cần thiết.
Phần mềm độc hại tích cực phát triển
Check Point đã phân tích Rhadamanthys phiên bản 0.5.0 và báo cáo rằng nó đã giới thiệu một hệ thống plugin mới cho phép mức độ tùy chỉnh cao hơn cho các nhu cầu phân phối cụ thể.
Các plugin có thể bổ sung nhiều chức năng đa dạng cho phần mềm độc hại, đồng thời cho phép tội phạm mạng giảm thiểu dấu chân của chúng bằng cách chỉ tải những chức năng chúng cần trong từng trường hợp.
Hệ thống plugin mới cho thấy sự thay đổi theo hướng mô-đun hóa và có thể tùy chỉnh hơn vì nó cho phép các tác nhân đe dọa triển khai các plugin phù hợp với mục tiêu của họ, chống lại các biện pháp bảo mật được xác định trong giai đoạn điều chỉnh hoặc khai thác các lỗ hổng cụ thể.
Một plugin đi kèm với Rhadamanthys là 'Data Spy,' có thể giám sát các lần đăng nhập thành công vào RDP và nắm bắt thông tin đăng nhập của nạn nhân.
Bản phát hành 0.5.0 cũng mang đến quy trình thực thi ứng dụng khách và cấu trúc sơ khai được cải tiến, các bản sửa lỗi trên hệ thống nhắm mục tiêu vào ví tiền điện tử và các bản sửa lỗi về việc mua lại mã thông báo Discord.
Các cải tiến đáng chú ý khác bao gồm nâng cao khả năng đánh cắp dữ liệu từ trình duyệt, cài đặt tìm kiếm được cập nhật trên bảng điều khiển người dùng và tùy chọn sửa đổi thông báo Telegram.
Check Point lưu ý rằng trình tải phần mềm độc hại đã được viết lại để bao gồm kiểm tra chống phân tích, cấu hình được nhúng và gói có mô-đun cho giai đoạn tiếp theo (XS1).
Phân tích sâu hơn cho thấy sự tồn tại của các mô-đun sau được tải bởi XS1, năm trong số đó là mô-đun mới trong phiên bản 0.5.0 của Rhadamanthys và tập trung vào việc trốn tránh.
Trình tải XS1 giải nén các mô-đun đó và thiết lập liên lạc với máy chủ C2 (ra lệnh và điều khiển), từ đó nó nhận và khởi chạy các mô-đun bổ sung, bao gồm cả kẻ đánh cắp thụ động và chủ động.
Kẻ đánh cắp thụ động là các thành phần đánh cắp thông tin ít xâm phạm hơn, tìm kiếm trong các thư mục, giám sát các ứng dụng để trao đổi dữ liệu nhạy cảm, mục nhập của người dùng, v.v.
Những kẻ đánh cắp đang hoạt động có tính xâm lấn cao hơn và liên quan đến việc ghi lại thao tác thao tác bàn phím, chụp ảnh màn hình và đưa mã vào các tiến trình đang chạy để lọc ra càng nhiều dữ liệu càng tốt.
Trong khi Check Point phân tích phiên bản 0.5.0, các nhà khai thác Rhadamanthys đã phát hành phiên bản 0.5.1, đây là dấu hiệu của sự phát triển rất tích cực.
Check Point chưa có cơ hội đi sâu vào phiên bản mới của kẻ đánh cắp thông tin, nhưng các tính năng mới được tội phạm mạng công bố rất ấn tượng, ngay cả khi chưa được xác nhận.
Hệ thống plugin mới cho thấy sự thay đổi theo hướng mô-đun hóa và có thể tùy chỉnh hơn vì nó cho phép các tác nhân đe dọa triển khai các plugin phù hợp với mục tiêu của họ, chống lại các biện pháp bảo mật được xác định trong giai đoạn điều chỉnh hoặc khai thác các lỗ hổng cụ thể.
Một plugin đi kèm với Rhadamanthys là 'Data Spy,' có thể giám sát các lần đăng nhập thành công vào RDP và nắm bắt thông tin đăng nhập của nạn nhân.
Bản phát hành 0.5.0 cũng mang đến quy trình thực thi ứng dụng khách và cấu trúc sơ khai được cải tiến, các bản sửa lỗi trên hệ thống nhắm mục tiêu vào ví tiền điện tử và các bản sửa lỗi về việc mua lại mã thông báo Discord.
Các cải tiến đáng chú ý khác bao gồm nâng cao khả năng đánh cắp dữ liệu từ trình duyệt, cài đặt tìm kiếm được cập nhật trên bảng điều khiển người dùng và tùy chọn sửa đổi thông báo Telegram.
Check Point lưu ý rằng trình tải phần mềm độc hại đã được viết lại để bao gồm kiểm tra chống phân tích, cấu hình được nhúng và gói có mô-đun cho giai đoạn tiếp theo (XS1).
Phân tích sâu hơn cho thấy sự tồn tại của các mô-đun sau được tải bởi XS1, năm trong số đó là mô-đun mới trong phiên bản 0.5.0 của Rhadamanthys và tập trung vào việc trốn tránh.
Trình tải XS1 giải nén các mô-đun đó và thiết lập liên lạc với máy chủ C2 (ra lệnh và điều khiển), từ đó nó nhận và khởi chạy các mô-đun bổ sung, bao gồm cả kẻ đánh cắp thụ động và chủ động.
Kẻ đánh cắp thụ động là các thành phần đánh cắp thông tin ít xâm phạm hơn, tìm kiếm trong các thư mục, giám sát các ứng dụng để trao đổi dữ liệu nhạy cảm, mục nhập của người dùng, v.v.
Trong khi Check Point phân tích phiên bản 0.5.0, các nhà khai thác Rhadamanthys đã phát hành phiên bản 0.5.1, đây là dấu hiệu của sự phát triển rất tích cực.
Check Point chưa có cơ hội đi sâu vào phiên bản mới của kẻ đánh cắp thông tin, nhưng các tính năng mới được tội phạm mạng công bố rất ấn tượng, ngay cả khi chưa được xác nhận.
Tóm lại, 0.5.1 giới thiệu:
- Plugin Clipper mới, sửa đổi dữ liệu clipboard để chuyển hướng thanh toán bằng tiền điện tử cho kẻ tấn công.
- Tùy chọn thông báo Telegram để lọc ví và tạo hạt giống trong ZIP đã lọc
- Khả năng khôi phục cookie Tài khoản Google đã xóa (được báo cáo lần đầu tại đây)
- Khả năng trốn tránh Windows Defender, bao gồm cả bảo vệ đám mây, bằng cách làm sạch phần sơ khai của nó.
Sự phát triển của Rhadamanthys đang diễn ra nhanh chóng, với mỗi phiên bản mới đều bổ sung thêm các tính năng khiến công cụ này trở nên đáng gờm hơn và hấp dẫn hơn đối với tội phạm mạng.
Sẽ không có gì ngạc nhiên khi thấy các tác nhân đe dọa chuyển sang Rhadamanthys khi sự phát triển của nó phát triển.