El malware espía conocido como Rhadamanthys está siendo desarrollado por sus creadores para ampliar sus capacidades de recolección de información y también para incorporar un sistema de complementos que lo haga más personalizable, según un informe técnico de la empresa de ciberseguridad Check Point publicado la semana pasada.
Esta estrategia no solo lo convierte en una amenaza capaz de cumplir «las necesidades específicas del distribuidor», sino que también lo hace más potente, señaló Check Point en su informe.
Descubierto por primera vez por ThreatMon en octubre de 2022, Rhadamanthys se ha vendido bajo el modelo de «malware como servicio» (MaaS) desde septiembre de 2022 por un actor que usa el alias «kingcrete2022».
Por lo general, se distribuye a través de sitios web maliciosos que imitan a los de software genuino que se publicitan a través de anuncios de Google. El malware es capaz de recolectar una amplia variedad de información sensible de los equipos comprometidos, incluyendo los navegadores web, billeteras de criptomonedas, clientes de correo electrónico, VPN y aplicaciones de mensajería instantánea.
En un informe publicado en marzo de 2022, la firma israelí de ciberseguridad señaló que «Rhadamanthys representa un paso en la tradición emergente de malware que trata de hacer todo lo posible, y también una demostración de que en el mundo del malware, tener una marca fuerte lo es todo».
Una investigación posterior en agosto reveló que el desarrollo de este malware de «venta libre» tenía similitudes «en diseño e implementación» con el coin miner Hidden Bee.
“La similitud es evidente en muchos niveles: formatos personalizados de ejecutables, el uso de sistemas de archivos virtuales similares, rutas idénticas a algunos de los componentes, funciones reutilizadas, uso similar de la esteganografía, uso de scripts LUA y un diseño general análogo», describieron los investigadores la evolución del malware como «rápido y constante».
Según el canal de Telegram del actor de amenazas, la versión de trabajo actual de Rhadamanthys es 0.5.2.
El análisis de Check Point de las versiones 0.5.0 y 0.5.1 reveló un nuevo sistema de complementos que lo convierte en un «navaja suiza» efectiva, lo que indica un cambio hacia la modularización y personalización. También permite a los clientes del malware poner en marcha herramientas adicionales personalizadas para sus objetivos.
Los componentes de este malware son activos y pueden abrir procesos e inyectar cargas adicionales diseñadas para facilitar el robo de información, y pasivos, diseñados para buscar y analizar archivos específicos para recuperar credenciales guardadas.
Otro aspecto destacado es el uso de un intérprete de scripts Lua que puede cargar hasta 100 de ellos para robar la mayor cantidad de información posible de las billeteras de criptomonedas, agentes de correo, servicios FTP, aplicaciones de notas, mensajeros instantáneos, VPN, aplicaciones de autenticación de dos factores y administradores de contraseñas.
La versión 0.5.1 da un paso más allá, agregando la funcionalidad de clipper para alterar los datos del portapapeles que coinciden con las direcciones de las billeteras para desviar los pagos de criptomonedas a una billetera controlada por un atacante, así como también una opción para recuperar cookies de cuentas de Google, siguiendo los pasos de Lumma Stealer.
«El autor sigue enriqueciendo el conjunto de funciones disponibles, tratando de no solo hacerlo un malware de robo de información, sino también un bot multipropósito, permitiendo cargar múltiples extensiones creadas por un distribuidor», dijo la investigadora de seguridad Aleksandra «Hasherezade» Doniec.
«Las características agregadas, como un keylogger y la recolección de información sobre el sistema, también son un paso hacia convertirlo en un spyware de propósito general».
Estas noticias se dan al mismo tiempo que Trend Micro describe nuevas cadenas de infección de AsyncRAT que utilizan un proceso legítimo de Microsoft llamado aspnet_compiler.exe para desplegar sigilosamente el troyano de acceso remoto (RAT) a través de ataques de phishing.
Al igual que Rhadamanthys, AsyncRAT lleva a cabo la inyección de código en procesos en ejecución. El proceso de varias etapas culmina con la inyección de la carga útil de AsyncRAT en un nuevo proceso de aspnet_compiler.exe que finalmente establece contacto con un servidor de comando y control (C2).
«El backdoor de AsyncRAT tiene otras capacidades dependiendo de la configuración incrustada», dijeron los investigadores de seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. «Esto incluye comprobaciones de anti-depuración y análisis, instalación de persistencia y keylogging».
También está diseñado para escanear carpetas específicas del directorio de la aplicación, extensiones de navegadores y datos de usuario para verificar la presencia de billeteras de criptomonedas. Además, se ha observado que los actores de amenazas dependen del servicio DNS dinámico (DDNS) para oscurecer deliberadamente sus actividades.
