De ontwikkelaars van de informatiestelende malware, bekend als Rhadamanthys, zijn actief bezig met het verbeteren van de functies ervan, waardoor de mogelijkheden voor het verzamelen van informatie worden uitgebreid en ook een plug-insysteem wordt ingebouwd om het beter aanpasbaar te maken.
Deze aanpak transformeert het niet alleen in een bedreiging die in staat is om “specifieke behoeften van distributeurs” te vervullen, maar maakt het ook krachtiger, zei Check Point in een technische deepdive die vorige week werd gepubliceerd.
Rhadamanthys, voor het eerst gedocumenteerd door ThreatMon in oktober 2022, werd al in september 2022 verkocht onder het Malware-as-a-Service (MaaS)-model door een acteur onder de alias ‘kingcrete2022’.
De malware wordt doorgaans verspreid via kwaadaardige websites die een afspiegeling zijn van die van legitieme software waarvoor via Google-advertenties wordt geadverteerd. De malware kan een breed scala aan gevoelige informatie verzamelen van besmette hosts, waaronder webbrowsers, crypto-wallets, e-mailclients, VPN en instant messaging-apps. .
“Rhadamanthys vertegenwoordigt een stap in de opkomende traditie van malware die zoveel mogelijk probeert te doen, en ook een demonstratie dat in de malwarebranche het hebben van een sterk merk alles is”, merkte het Israëlische cyberbeveiligingsbedrijf in maart 2022 op.
Uit een daaropvolgend onderzoek naar de kant-en-klare malware in augustus bleek dat het ontwerp en de implementatie overlappen met die van de Hidden Bee-muntmijnwerker.
“De gelijkenis is op veel niveaus duidelijk: aangepaste uitvoerbare formaten, het gebruik van vergelijkbare virtuele bestandssystemen, identieke paden naar sommige componenten, hergebruikte functies, vergelijkbaar gebruik van steganografie, gebruik van LUA-scripts en algeheel analoog ontwerp”, aldus de onderzoekers. , waarin de ontwikkeling van de malware wordt beschreven als “snel en voortdurend”.
Op het moment van schrijven is de huidige werkende versie van Rhadamanthys 0.5.2, volgens de beschrijving op het Telegram-kanaal van de bedreigingsacteur.
Check Point’s analyse van versies 0.5.0 en 0.5.1 onthult een nieuw plug-insysteem dat het feitelijk meer een Zwitsers zakmes maakt, wat wijst op een verschuiving richting modularisering en maatwerk. Hierdoor kunnen de stelende klanten ook extra tools inzetten die zijn afgestemd op hun doelwitten.
De stealer-componenten zijn zowel actief, in staat om processen te openen en extra payloads te injecteren die zijn ontworpen om informatiediefstal te vergemakkelijken, als passief, die zijn ontworpen om specifieke bestanden te doorzoeken en te parseren om opgeslagen inloggegevens op te halen.
Een ander opvallend aspect is het gebruik van een Lua-scriptrunner die tot 100 Lua-scripts kan laden om zoveel mogelijk informatie te stelen uit cryptocurrency-portefeuilles, e-mailagenten, FTP-services, apps voor het maken van notities, instant messengers, VPN’s en tweefactorauthenticatie. apps en wachtwoordbeheerders.
Versie 0.5.1 gaat nog een stap verder en voegt clipper-functionaliteit toe om klembordgegevens te wijzigen die overeenkomen met portemonnee-adressen om cryptocurrency-betalingen om te leiden naar een door de aanvaller gecontroleerde portemonnee, evenals een optie om Google-accountcookies te herstellen, in de voetsporen van Lumma Stealer.
“De auteur blijft de reeks beschikbare functies verrijken en probeert er niet alleen een stealer van te maken, maar ook een multifunctionele bot, door hem in staat te stellen meerdere extensies te laden die door een distributeur zijn gemaakt”, aldus beveiligingsonderzoeker Aleksandra “Hasherezade” Doniec.
“De toegevoegde functies, zoals een keylogger en het verzamelen van informatie over het systeem, zijn ook een stap in de richting om er een spyware voor algemene doeleinden van te maken.”
AsyncRAT’s code-injectie in aspnet_compiler.exe
De bevindingen komen nadat Trend Micro nieuwe AsyncRAT-infectieketens heeft gedetailleerd die gebruik maken van een legitiem Microsoft-proces genaamd aspnet_compiler.exe, dat wordt gebruikt voor het precompileren van ASP.NET-webapplicaties, om heimelijk de Remote Access Trojan (RAT) in te zetten via phishing-aanvallen.
Vergelijkbaar met de manier waarop Rhadamanthys code-injectie in lopende processen uitvoert, culmineert het meerfasige proces erin dat de AsyncRAT-payload wordt geïnjecteerd in een nieuw voortgebracht aspnet_compiler.exe-proces om uiteindelijk contact te maken met een command-and-control (C2)-server.
“De AsyncRAT-backdoor heeft andere mogelijkheden, afhankelijk van de ingebedde configuratie”, aldus beveiligingsonderzoekers Buddy Tancio, Fe Cureg en Maria Emreen Viray. “Dit omvat anti-debugging- en analysecontroles, persistentie-installatie en keylogging.”
Het is ook ontworpen om bepaalde mappen in de applicatiemap, browserextensies en gebruikersgegevens te scannen om te controleren op de aanwezigheid van crypto-wallets. Bovendien is waargenomen dat de bedreigingsactoren vertrouwen op Dynamic DNS (DDNS) om opzettelijk hun activiteiten te verdoezelen.
“Het gebruik van dynamische hostservers stelt bedreigingsactoren in staat hun IP-adressen naadloos bij te werken, waardoor hun vermogen om onopgemerkt binnen het systeem te blijven wordt versterkt”, aldus de onderzoekers.
