Разработчиците на зловредния софтуер за кражба на информация Rhadamanthys наскоро пуснаха две основни версии, за да добавят подобрения и усъвършенствания във всички области, включително нови възможности за кражба и подобрено избягване на откриване.
Rhadamanthys е крадец на информация на C++, който се появява за първи път през август 2022 г., като се насочва към идентификационни данни за имейл, FTP и акаунти за услуги за онлайн банкиране.
Крадецът се продава на киберпрестъпниците чрез абонаментен модел, така че се разпространява до целите с помощта на различни канали, включително злонамерени изтегляния, подплатени торенти, имейли, видеоклипове в YouTube и др.
Въпреки че първоначално не получи голямо внимание на претъпкания пазар на информационни крадци, Rhadamanthys продължи да се усъвършенства, като се основаваше на модулния си характер, за да добавя нови функции при необходимост.
Изследователи от Check Point разгледаха двете последни версии на Rhadamanthys и съобщиха за добавянето на многобройни промени и функции, които разширяват неговите възможности за кражба и шпионски функции.
Check Point анализира версията 0.5.0 на Rhadamanthys и съобщава, че в нея е въведена нова система от плъгини, която позволява по-високи нива на персонализация за специфични нужди на разпространението.
Плъгините биха могли да добавят разнообразни възможности към зловредния софтуер, като същевременно позволяват на киберпрестъпниците да сведат до минимум отпечатъка си, като зареждат само тези, които са им необходими във всеки отделен случай.
Новата система за плъгини показва преминаване към по-модулна и приспособима рамка, тъй като позволява на заплахите да внедряват плъгини, съобразени с техните цели, противодействащи на мерките за сигурност, идентифицирани по време на етапите на разузнаване, или използващи специфични уязвимости.
Приставката, включена в пакета на Rhadamanthys, е „Data Spy“ (Шпиониране на данни), която може да следи за успешни опити за влизане в RDP и да улавя идентификационните данни на жертвата.
Изданието 0.5.0 също така донесе подобрено конструиране на кочани и процес на изпълнение на клиенти, поправки на системата, която се насочва към портфейли за криптовалути, и поправки на придобиването на токени Discord.
Други забележителни подобрения включват подобрено крадене на данни от браузърите, актуализирани настройки за търсене в потребителския панел и опция за промяна на известията в Telegram.
Check Point отбелязва, че зареждащото устройство за злонамерен софтуер е пренаписано, за да включва проверки срещу анализ, вградена конфигурация и пакет с модули за следващия етап (XS1).
По-нататъшният анализ разкри съществуването на следните модули, зареждани от XS1, пет от които са нови във версия 0.5.0 на Rhadamanthys и са насочени към избягване.
Зареждащият модул XS1 разопакова тези модули и установява връзка със сървъра C2 (командване и контрол), откъдето получава и стартира допълнителни модули, включително пасивни и активни крадци.
Пасивните крадци са по-малко натрапчиви компоненти за кражба на информация, които претърсват директории, наблюдават приложенията за обмен на чувствителни данни, потребителски записи и др.
Активните крадци са по-инвазивни и включват следене на клавишите, заснемане на екрана и инжектиране на код в работещи процеси, за да извлекат възможно най-много данни.
Докато Check Point анализира версия 0.5.0, операторите на Rhadamanthys пуснаха версия 0.5.1, което е знак за много активна разработка.
Check Point нямаше възможност да се потопи в дълбочина в новата версия на крадеца на информация, но новите функции, обявени от киберпрестъпниците, са впечатляващи, дори и все още да не са потвърдени.
Накратко, версия 0.5.1 въвежда:
Разработката на Rhadamanthys върви бързо, като всяка нова версия добавя функции, които правят инструмента по-страховит и по-примамлив за киберпрестъпниците.
Няма да е изненадващо, ако участниците в заплахите преминат към Rhadamanthys с развитието на инструмента.
Базова информация: Check Point
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.