O grupo de cibercriminosos por trás do malware Rhadamanthys também vem promovendo outras duas ferramentas, chamadas Elysium Proxy Bot e Crypt Service, em seu site.
Enquanto isso, o principal produto, um information stealer, ganhou uma atualização que permite coletar impressões digitais de dispositivos e navegadores, entre outros dados.
De acordo com a pesquisadora Aleksandra “Hasherezade” Doniec, da Check Point, “o Rhadamanthys começou a ser divulgado em fóruns de cibercrime, mas logo ficou claro que seus desenvolvedores tinham um plano mais ambicioso para se conectar com clientes em potencial e ganhar visibilidade”.
Promovido inicialmente por um ator identificado como kingcrete2022, o Rhadamanthys se consolidou como um dos information stealers mais populares no modelo malware-as-a-service (MaaS), competindo com nomes como Lumma, Vidar, StealC e, mais recentemente, Acreed. A versão atual do stealer é a 0.9.2.
Ao longo do tempo, as capacidades do malware evoluíram muito além da simples coleta de dados, configurando-se como uma ameaça completa para a segurança pessoal e corporativa.
Em outubro passado, a empresa Recorded Future destacou a inclusão de um recurso de inteligência artificial (AI) para reconhecimento ótico de caracteres (OCR), com o objetivo de capturar frases-semente de carteiras de criptomoedas, na versão 0.7.0 do software malicioso.
Mais recentemente, a Check Point revelou que os responsáveis pelo Rhadamanthys alteraram sua identidade para “RHAD security” e “Mythical Origin Labs”, apresentando suas ferramentas como “soluções inteligentes para inovação e eficiência”, num claro esforço de profissionalização.
O malware está disponível em três pacotes, com preços que vão de US$ 299 por mês na versão self-hosted até US$ 499 por mês, que inclui benefícios adicionais, como suporte técnico prioritário, servidor dedicado e acesso avançado à API.
Também existe a opção de um plano Enterprise, negociado diretamente com a equipe de vendas.
“A combinação da marca, do portfólio de produtos e da estrutura de preços indica que os desenvolvedores enxergam o Rhadamanthys como um negócio de longo prazo, e não apenas um projeto paralelo”, comentou Hasherezade.
“Para quem atua na defesa, essa profissionalização mostra que o Rhadamanthys, com sua base crescente de clientes e um ecossistema em expansão, deve permanecer ativo.
Por isso, é fundamental acompanhar não só as atualizações do malware, mas também a infraestrutura comercial que o sustenta.”
Assim como na versão 4.0 do Lumma, o Rhadamanthys 0.9.2 conta com um mecanismo para evitar o vazamento de artefatos desempacotados.
Quando o usuário executa o malware, uma mensagem de alerta aparece, oferecendo uma opção para finalizar a execução sem causar danos ao dispositivo.
Essa estratégia visa impedir que os distribuidores do malware estejam infectando suas próprias máquinas ou que o arquivo executável inicial seja disseminado de forma desprotegida, facilitando a detecção.
Apesar do alerta ser similar em ambos os malwares, a implementação é diferente.
“No Lumma, a abertura e leitura do arquivo são feitas via syscalls diretas, e a mensagem é exibida por meio de NtRaiseHardError.
No Rhadamanthys, não há uso de syscalls crus, e o alerta é mostrado usando MessageBoxW.
Embora ambos os loaders sejam ofuscados, os padrões de ofuscação são distintos,” explicou a Check Point, indicando uma “mimicry” superficial.
Outras atualizações incluem ajustes no formato customizado XS, usado para distribuir os módulos executáveis, melhorias nas verificações que decidem se o malware deve continuar rodando na máquina, e alterações na configuração ofuscada embutida, incluindo a mudança nos nomes dos módulos para dificultar a detecção.
Um desses módulos, antes conhecido como Strategy, realiza uma série de verificações no ambiente para garantir que não está operando em sandbox.
Ele checa os processos ativos contra uma lista de proibidos, confere o papel de parede atual comparando com um modelo usado pela sandbox Triage e ainda verifica se o nome do usuário ou o HWID (identificador de hardware) da máquina correspondem a valores associados a ambientes virtuais.
Só depois de passar por esses filtros, o malware estabelece conexão com o servidor de comando e controle (C2) para baixar o componente principal do stealer.
Esse payload fica escondido por meio de técnicas de esteganografia, dentro de arquivos WAV, JPEG ou PNG, de onde é extraído, descriptografado e executado.
Vale destacar que o pacote embutido no PNG só pode ser decodificado com uma chave secreta compartilhada durante a fase inicial da comunicação com o C2.
O módulo de roubo de dados possui um interpretador Lua embutido, o que permite rodar plugins adicionais escritos nessa linguagem para ampliar o roubo de informações e realizar fingerprinting avançado do dispositivo e navegador.
Segundo a Check Point, “a versão mais recente representa uma evolução, não uma revolução.
É recomendável que analistas atualizem seus parsers de configuração, monitorem a entrega de payloads via PNG, observem mudanças nos formatos de mutex e bot ID, e se preparem para mais alterações na ofuscação conforme as ferramentas evoluem”.
Por enquanto, o desenvolvimento segue mais lento e contínuo, mantendo a estrutura central intacta e focando em refinamentos, como novos componentes para o stealer, melhorias na ofuscação e opções avançadas de customização.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...