Търсене
Close this search box.

Зловредният софтуер Rhadamanthys Stealer еволюира с по-мощни функции

Разработчиците на зловредния софтуер за кражба на информация Rhadamanthys наскоро пуснаха две основни версии, за да добавят подобрения и усъвършенствания във всички области, включително нови възможности за кражба и подобрено избягване на откриване.

Rhadamanthys е крадец на информация на C++, който се появява за първи път през август 2022 г., като се насочва към идентификационни данни за имейл, FTP и акаунти за услуги за онлайн банкиране.

Крадецът се продава на киберпрестъпниците чрез абонаментен модел, така че се разпространява до целите с помощта на различни канали, включително злонамерени изтегляния, подплатени торенти, имейли, видеоклипове в YouTube и др.

Въпреки че първоначално не получи голямо внимание на претъпкания пазар на информационни крадци, Rhadamanthys продължи да се усъвършенства, като се основаваше на модулния си характер, за да добавя нови функции при необходимост.

Изследователи от Check Point разгледаха двете последни версии на Rhadamanthys и съобщиха за добавянето на многобройни промени и функции, които разширяват неговите възможности за кражба и шпионски функции.

Активно разработван зловреден софтуер

Check Point анализира версията 0.5.0 на Rhadamanthys и съобщава, че в нея е въведена нова система от плъгини, която позволява по-високи нива на персонализация за специфични нужди на разпространението.

Плъгините биха могли да добавят разнообразни възможности към зловредния софтуер, като същевременно позволяват на киберпрестъпниците да сведат до минимум отпечатъка си, като зареждат само тези, които са им необходими във всеки отделен случай.

Новата система за плъгини показва преминаване към по-модулна и приспособима рамка, тъй като позволява на  заплахите да внедряват плъгини, съобразени с техните цели, противодействащи на мерките за сигурност, идентифицирани по време на етапите на разузнаване, или използващи специфични уязвимости.

Приставката, включена в пакета на Rhadamanthys, е „Data Spy“ (Шпиониране на данни), която може да следи за успешни опити за влизане в RDP и да улавя идентификационните данни на жертвата.

Изданието 0.5.0 също така донесе подобрено конструиране на кочани и процес на изпълнение на клиенти, поправки на системата, която се насочва към портфейли за криптовалути, и поправки на придобиването на токени Discord.

Targeted crypto apps

Други забележителни подобрения включват подобрено крадене на данни от браузърите, актуализирани настройки за търсене в потребителския панел и опция за промяна на известията в Telegram.

Check Point отбелязва, че зареждащото устройство за злонамерен софтуер е пренаписано, за да включва проверки срещу анализ, вградена конфигурация и пакет с модули за следващия етап (XS1).

По-нататъшният анализ разкри съществуването на следните модули, зареждани от XS1, пет от които са нови във версия 0.5.0 на Rhadamanthys и са насочени към избягване.

Modules

Зареждащият модул XS1 разопакова тези модули и установява връзка със сървъра C2 (командване и контрол), откъдето получава и стартира допълнителни модули, включително пасивни и активни крадци.

Пасивните крадци са по-малко натрапчиви компоненти за кражба на информация, които претърсват директории, наблюдават приложенията за обмен на чувствителни данни, потребителски записи и др.

Apps targeted by the passive stealers

Активните крадци са по-инвазивни и включват следене на клавишите, заснемане на екрана и инжектиране на код в работещи процеси, за да извлекат възможно най-много данни.

Apps targeted by the malware's active stealers

Докато Check Point анализира версия 0.5.0, операторите на Rhadamanthys пуснаха версия 0.5.1, което е знак за много активна разработка.

Check Point нямаше възможност да се потопи в дълбочина в новата версия на крадеца на информация, но новите функции, обявени от киберпрестъпниците, са впечатляващи, дори и все още да не са потвърдени.

Накратко, версия 0.5.1 въвежда:

  • Нова приставка Clipper, която модифицира данните от клипборда, за да пренасочи криптоплащания към нападателя.
  • Опции за уведомяване в Telegram за ексфилтриране на крак на портфейла и семена в ексфилтрирания ZIP
  • Възможност за възстановяване на изтрити бисквитки от профила в Google (за първи път съобщено тук)
  • Възможност за заобикаляне на Windows Defender, включително защитата в облака, чрез почистване на неговия клон.

Разработката на Rhadamanthys върви бързо, като всяка нова версия добавя функции, които правят инструмента по-страховит и по-примамлив за киберпрестъпниците.

Няма да е изненадващо, ако участниците в заплахите преминат към Rhadamanthys с развитието на инструмента.

Базова информация: Check Point

 

Източник: e-security.bg

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
06/06/2024

Сериозна грешка в Atlassian...

Поради ролята, която Confluence Server играе...
01/06/2024

Приложение за генериране на...

Gipy – новооткрита кампания, използваща щам...
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!