I creatori del malware per il furto di informazioni Rhadamanthys hanno recentemente rilasciato due importanti versioni, introducendo miglioramenti significativi, nuove capacità di furto e tecniche di evasione avanzate.
Sviluppo e Caratteristiche di Rhadamanthys
Rhadamanthys è un malware scritto in C++ che ha fatto la sua prima apparizione nell’agosto 2022, mirando a rubare credenziali di account di servizi email, FTP e di banking online. Venduto ai cybercriminali tramite un modello di abbonamento, Rhadamanthys viene distribuito attraverso vari canali, inclusi malvertising, download di torrent infetti, email, video su YouTube e altri.
Miglioramenti e Aggiunte nelle Nuove Versioni
Gli analisti di Check Point hanno esaminato le ultime due versioni di Rhadamanthys, segnalando l’aggiunta di numerose modifiche e funzionalità che espandono le sue capacità di furto e spionaggio. La versione 0.5.0 ha introdotto un nuovo sistema di plugin che consente un maggior livello di personalizzazione per specifiche esigenze di distribuzione. Questi plugin possono aggiungere una vasta gamma di capacità al malware, consentendo ai cybercriminali di minimizzare la loro impronta digitale caricando solo quelli necessari in ogni caso.
Funzioni di Evasione e Nuovi Plugin
La nuova versione ha introdotto il plugin “Data Spy”, che monitora i tentativi di accesso riusciti a RDP e cattura le credenziali della vittima. Altre migliorie includono una costruzione migliorata dello stub, un processo di esecuzione del client più efficiente, correzioni nel sistema che prende di mira i portafogli di criptovalute e l’acquisizione dei token Discord.
Ulteriori Moduli e Tecniche di Evasione
Il loader del malware è stato riscritto per includere controlli anti-analisi, una configurazione incorporata e un pacchetto con moduli per la fase successiva (XS1). Questi moduli, alcuni dei quali sono nuovi nella versione 0.5.0, si concentrano sull’evasione e stabiliscono la comunicazione con il server C2 (command and control), da cui ricevono e lanciano ulteriori moduli, inclusi stealer passivi e attivi.
Versione 0.5.1 e Sviluppi Futuri
Mentre Check Point analizzava la versione 0.5.0, gli operatori di Rhadamanthys hanno rilasciato la versione 0.5.1, segno di uno sviluppo molto attivo. La versione 0.5.1 introduce nuove funzionalità come un plugin Clipper che modifica i dati negli appunti per dirottare i pagamenti in criptovaluta verso l’attaccante, opzioni di notifica Telegram per esfiltrare il crack del portafoglio e il seed nel file ZIP esfiltrato, la capacità di recuperare i cookie dell’account Google cancellati e l’abilità di evadere Windows Defender.
Lo sviluppo di Rhadamanthys sta procedendo rapidamente, con ogni nuova versione che aggiunge funzionalità che rendono lo strumento più formidabile e attraente per i cybercriminali. Non sarebbe sorprendente trovare attori di minacce che passano a Rhadamanthys man mano che il suo sviluppo evolve.