Търсене
Close this search box.

Разработчиците на зловредния софтуер за кражба на информация Rhadamanthys наскоро пуснаха две основни версии, за да добавят подобрения и усъвършенствания във всички области, включително нови възможности за кражба и подобрено избягване на откриване.

Rhadamanthys е крадец на информация на C++, който се появява за първи път през август 2022 г., като се насочва към идентификационни данни за имейл, FTP и акаунти за услуги за онлайн банкиране.

Крадецът се продава на киберпрестъпниците чрез абонаментен модел, така че се разпространява до целите с помощта на различни канали, включително злонамерени изтегляния, подплатени торенти, имейли, видеоклипове в YouTube и др.

Въпреки че първоначално не получи голямо внимание на претъпкания пазар на информационни крадци, Rhadamanthys продължи да се усъвършенства, като се основаваше на модулния си характер, за да добавя нови функции при необходимост.

Изследователи от Check Point разгледаха двете последни версии на Rhadamanthys и съобщиха за добавянето на многобройни промени и функции, които разширяват неговите възможности за кражба и шпионски функции.

Активно разработван зловреден софтуер

Check Point анализира версията 0.5.0 на Rhadamanthys и съобщава, че в нея е въведена нова система от плъгини, която позволява по-високи нива на персонализация за специфични нужди на разпространението.

Плъгините биха могли да добавят разнообразни възможности към зловредния софтуер, като същевременно позволяват на киберпрестъпниците да сведат до минимум отпечатъка си, като зареждат само тези, които са им необходими във всеки отделен случай.

Новата система за плъгини показва преминаване към по-модулна и приспособима рамка, тъй като позволява на  заплахите да внедряват плъгини, съобразени с техните цели, противодействащи на мерките за сигурност, идентифицирани по време на етапите на разузнаване, или използващи специфични уязвимости.

Приставката, включена в пакета на Rhadamanthys, е „Data Spy“ (Шпиониране на данни), която може да следи за успешни опити за влизане в RDP и да улавя идентификационните данни на жертвата.

Изданието 0.5.0 също така донесе подобрено конструиране на кочани и процес на изпълнение на клиенти, поправки на системата, която се насочва към портфейли за криптовалути, и поправки на придобиването на токени Discord.

Targeted crypto apps

Други забележителни подобрения включват подобрено крадене на данни от браузърите, актуализирани настройки за търсене в потребителския панел и опция за промяна на известията в Telegram.

Check Point отбелязва, че зареждащото устройство за злонамерен софтуер е пренаписано, за да включва проверки срещу анализ, вградена конфигурация и пакет с модули за следващия етап (XS1).

По-нататъшният анализ разкри съществуването на следните модули, зареждани от XS1, пет от които са нови във версия 0.5.0 на Rhadamanthys и са насочени към избягване.

Modules

Зареждащият модул XS1 разопакова тези модули и установява връзка със сървъра C2 (командване и контрол), откъдето получава и стартира допълнителни модули, включително пасивни и активни крадци.

Пасивните крадци са по-малко натрапчиви компоненти за кражба на информация, които претърсват директории, наблюдават приложенията за обмен на чувствителни данни, потребителски записи и др.

Apps targeted by the passive stealers

Активните крадци са по-инвазивни и включват следене на клавишите, заснемане на екрана и инжектиране на код в работещи процеси, за да извлекат възможно най-много данни.

Apps targeted by the malware's active stealers

Докато Check Point анализира версия 0.5.0, операторите на Rhadamanthys пуснаха версия 0.5.1, което е знак за много активна разработка.

Check Point нямаше възможност да се потопи в дълбочина в новата версия на крадеца на информация, но новите функции, обявени от киберпрестъпниците, са впечатляващи, дори и все още да не са потвърдени.

Накратко, версия 0.5.1 въвежда:

  • Нова приставка Clipper, която модифицира данните от клипборда, за да пренасочи криптоплащания към нападателя.
  • Опции за уведомяване в Telegram за ексфилтриране на крак на портфейла и семена в ексфилтрирания ZIP
  • Възможност за възстановяване на изтрити бисквитки от профила в Google (за първи път съобщено тук)
  • Възможност за заобикаляне на Windows Defender, включително защитата в облака, чрез почистване на неговия клон.

Разработката на Rhadamanthys върви бързо, като всяка нова версия добавя функции, които правят инструмента по-страховит и по-примамлив за киберпрестъпниците.

Няма да е изненадващо, ако участниците в заплахите преминат към Rhadamanthys с развитието на инструмента.

Базова информация: Check Point

 

Източник: e-security.bg

Подобни публикации

10 декември 2024

Deloitte опроверга рансъмуер банда

Deloitte направи изявление в отговор на твърденията на група за ран...
9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
17/11/2024

10- те най- големи киберата...

Най-големите кибератаки и нарушения на сигурността...
Последно добавени
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!