Phần mềm độc hại Rhadamanthys Stealer phát triển với nhiều tính năng mạnh mẽ hơn

Các nhà phát triển phần mềm độc hại đánh cắp thông tin Rhadamanthys gần đây đã phát hành hai phiên bản chính để bổ sung các cải tiến và cải tiến trên diện rộng, bao gồm khả năng đánh cắp mới và khả năng trốn tránh nâng cao.

Rhadamanthys là kẻ đánh cắp thông tin C++ xuất hiện lần đầu tiên vào tháng 8 năm 2022, nhắm mục tiêu vào email, FTP và thông tin xác thực tài khoản dịch vụ ngân hàng trực tuyến.


Kẻ đánh cắp được bán cho tội phạm mạng thông qua mô hình đăng ký, do đó, nó được phân phối đến các mục tiêu bằng nhiều kênh khác nhau, bao gồm quảng cáo độc hại, tải xuống torrent, email, video YouTube, v.v.


Mặc dù ban đầu nó không nhận được nhiều sự chú ý trong thị trường đông đảo những kẻ đánh cắp thông tin, Rhadamanthys vẫn tiếp tục cải tiến, dựa trên bản chất mô-đun của nó để bổ sung các tính năng mới khi cần thiết.

Các nhà nghiên cứu tại Check Point đã xem xét hai phiên bản mới nhất của Rhadamanthys và báo cáo về việc bổ sung nhiều thay đổi và tính năng giúp mở rộng khả năng đánh cắp của nó và chức năng gián điệp.

Phần mềm độc hại tích cực phát triển

Check Point đã phân tích Rhadamanthys phiên bản 0.5.0 và báo cáo rằng nó đã giới thiệu một hệ thống plugin mới cho phép mức độ tùy chỉnh cao hơn cho các nhu cầu phân phối cụ thể.

Các plugin có thể bổ sung nhiều chức năng đa dạng cho phần mềm độc hại, đồng thời cho phép tội phạm mạng giảm thiểu dấu chân của chúng bằng cách chỉ tải những chức năng chúng cần trong từng trường hợp.

Hệ thống plugin mới cho thấy sự thay đổi theo hướng mô-đun hóa và có thể tùy chỉnh hơn vì nó cho phép các tác nhân đe dọa triển khai các plugin phù hợp với mục tiêu của họ, chống lại các biện pháp bảo mật được xác định trong giai đoạn điều chỉnh hoặc khai thác các lỗ hổng cụ thể.

Một plugin đi kèm với Rhadamanthys là 'Data Spy,' có thể giám sát các lần đăng nhập thành công vào RDP và nắm bắt thông tin đăng nhập của nạn nhân.

Bản phát hành 0.5.0 cũng mang đến quy trình thực thi ứng dụng khách và cấu trúc sơ khai được cải tiến, các bản sửa lỗi trên hệ thống nhắm mục tiêu vào ví tiền điện tử và các bản sửa lỗi về việc mua lại mã thông báo Discord.

Các ứng dụng tiền điện tử được nhắm mục tiêu (Điểm kiểm tra)

Các cải tiến đáng chú ý khác bao gồm nâng cao khả năng đánh cắp dữ liệu từ trình duyệt, cài đặt tìm kiếm được cập nhật trên bảng điều khiển người dùng và tùy chọn sửa đổi thông báo Telegram.

Check Point lưu ý rằng trình tải phần mềm độc hại đã được viết lại để bao gồm kiểm tra chống phân tích, cấu hình được nhúng và gói có mô-đun cho giai đoạn tiếp theo (XS1).

Phân tích sâu hơn cho thấy sự tồn tại của các mô-đun sau được tải bởi XS1, năm trong số đó là mô-đun mới trong phiên bản 0.5.0 của Rhadamanthys và tập trung vào việc trốn tránh.

Các mô-đun được tải bởi XS1 (Điểm kiểm tra)

Trình tải XS1 giải nén các mô-đun đó và thiết lập liên lạc với máy chủ C2 (ra lệnh và điều khiển), từ đó nó nhận và khởi chạy các mô-đun bổ sung, bao gồm cả kẻ đánh cắp thụ động và chủ động.

Kẻ đánh cắp thụ động là các thành phần đánh cắp thông tin ít xâm phạm hơn, tìm kiếm trong các thư mục, giám sát các ứng dụng để trao đổi dữ liệu nhạy cảm, mục nhập của người dùng, v.v.

Các ứng dụng được Rhadamanthys nhắm mục tiêu' kẻ đánh cắp thụ động (Check Point)

Những kẻ đánh cắp đang hoạt động có tính xâm lấn cao hơn và liên quan đến việc ghi lại thao tác thao tác bàn phím, chụp ảnh màn hình và đưa mã vào các tiến trình đang chạy để lọc ra càng nhiều dữ liệu càng tốt.

Các ứng dụng bị kẻ đánh cắp hoạt động của phần mềm độc hại nhắm mục tiêu (Check Point)

Trong khi Check Point phân tích phiên bản 0.5.0, các nhà khai thác Rhadamanthys đã phát hành phiên bản 0.5.1, đây là dấu hiệu của sự phát triển rất tích cực.

Check Point chưa có cơ hội đi sâu vào phiên bản mới của kẻ đánh cắp thông tin, nhưng các tính năng mới được tội phạm mạng công bố rất ấn tượng, ngay cả khi chưa được xác nhận.

Tóm lại, 0.5.1 giới thiệu:

• Plugin Clipper mới, sửa đổi dữ liệu clipboard để chuyển hướng thanh toán bằng tiền điện tử cho kẻ tấn công.
• Tùy chọn thông báo Telegram để lọc ví và tạo hạt giống trong ZIP đã lọc
• Khả năng khôi phục cookie Tài khoản Google đã xóa (được báo cáo lần đầu tại đây)
• Khả năng trốn tránh Windows Defender, bao gồm cả bảo vệ đám mây, bằng cách làm sạch phần sơ khai của nó.

Các ứng dụng được plugin Clipper mới nhắm mục tiêu (Check Point)

Sự phát triển của Rhadamanthys đang diễn ra nhanh chóng, với mỗi phiên bản mới đều bổ sung thêm các tính năng khiến công cụ này trở nên đáng gờm hơn và hấp dẫn hơn đối với tội phạm mạng.

Sẽ không có gì ngạc nhiên khi thấy các tác nhân đe dọa chuyển sang Rhadamanthys khi sự phát triển của nó phát triển.

Nguồn: https://www.bleepingcomputer.com/news/security/rhadamanthys-stealer-malware-evolves-with-more-powerful-features/