Los creadores del conocido malware de robo de información, Rhadamanthys, están constantemente mejorando sus funcionalidades, expandiendo sus habilidades para recolectar datos y agregando un sistema de plugins para aumentar su personalización.
Este enfoque no solo lo convierte en una amenaza capaz de satisfacer "demandas específicas de los distribuidores", sino que también aumenta su potencia, según un análisis técnico detallado publicado la semana pasada. Rhadamanthys, identificado inicialmente por ThreatMon en octubre de 2022, comenzó a ser ofrecido como un modelo de malware como servicio (MaaS) en septiembre de 2022 por un usuario conocido como "kingcrete2022".
Te podrá interesar leer: El auge del Malware como Servicio: Una Amenaza Peligrosa
Este malware, que se propaga típicamente a través de sitios web falsificados que imitan a los de software legítimo promocionados mediante anuncios de Google, es capaz de extraer una amplia gama de información confidencial de los sistemas comprometidos, incluyendo datos de navegadores web, monederos de criptomonedas, clientes de correo electrónico, VPNs y aplicaciones de mensajería instantánea.
"Rhadamanthys es un ejemplo de la evolución del malware que busca ser lo más versátil posible, demostrando que en el negocio del malware, tener una marca reconocida es crucial", apuntó una firma de ciberseguridad israelí en marzo de 2022. Un estudio más detallado del malware llevado a cabo en agosto mostró que su "diseño e implementación" tienen muchas similitudes con el minero de criptomonedas Hidden Bee.
"Las similitudes son claras en varios aspectos: formatos ejecutables personalizados, el uso de sistemas de archivos virtuales similares, rutas idénticas en algunos componentes, funciones reutilizadas, uso parecido de esteganografía, empleo de scripts LUA y un diseño global similar", explicaron los investigadores, describiendo el desarrollo del malware como "rápido y continuo".
El análisis de las versiones 0.5.0 y 0.5.1 revela un nuevo sistema de plugins que efectivamente lo transforma en una herramienta multifuncional, indicando un cambio hacia la modularización y personalización. Esto también permite a los operadores del malware implementar herramientas adicionales ajustadas a sus objetivos específicos.
Los componentes del ladrón son tanto activos, capaces de iniciar procesos e inyectar cargas útiles adicionales para facilitar el robo de información, como pasivos, diseñados para buscar y examinar archivos específicos en busca de credenciales almacenadas.
Otra característica destacada es el uso de un ejecutor de scripts Lua, que puede cargar hasta 100 scripts Lua para extraer la mayor cantidad posible de información de monederos de criptomonedas, clientes de correo electrónico, servicios FTP, aplicaciones de notas, mensajería instantánea, VPNs, aplicaciones de autenticación de dos factores y gestores de contraseñas.
La versión 0.5.1 va aún más lejos, añadiendo funcionalidades de clipper para modificar los datos del portapapeles que coincidan con direcciones de monederos criptográficos para redirigir pagos a una billetera controlada por los atacantes, así como una opción para recuperar cookies de cuentas de Google, siguiendo los pasos de Lumma Stealer.
Te podrá interesar: Malware Lumma Stealer utiliza trigonometría para evadir detección
Implementación de código AsyncRAT en aspnet_compiler.exe
Recientes investigaciones en el ámbito de la seguridad informática han sacado a la luz nuevas técnicas de infección del malware AsyncRAT, que explotan un proceso legítimo de Microsoft conocido como aspnet_compiler.exe. Este proceso, empleado para la precompilación de aplicaciones web ASP.NET, es utilizado para desplegar de manera encubierta el troyano de acceso remoto (RAT) a través de ataques de phishing.
De forma parecida a la estrategia de Rhadamanthys para inyectar código en procesos activos, este método se completa con la inyección de AsyncRAT en un proceso aspnet_compiler.exe recién iniciado, estableciendo así conexión con un servidor de comando y control (C2).
"La puerta trasera AsyncRAT posee diferentes capacidades en función de su configuración específica", indicaron los expertos en seguridad Buddy Tancio, Fe Cureg y Maria Emreen Viray. "Esto abarca técnicas de evasión de análisis y anti-depuración, instalación persistente y registro de teclas".
Este RAT también está programado para inspeccionar carpetas específicas dentro del directorio de la aplicación, extensiones de navegador y datos del usuario para detectar la presencia de monederos de criptomonedas. Adicionalmente, se ha notado que los actores de amenazas utilizan DNS dinámico (DDNS) para ocultar sus actividades de manera intencionada.
"El empleo de servidores host dinámicos por parte de los actores de amenazas facilita la actualización de sus direcciones IP, mejorando así su capacidad para permanecer no detectados dentro del sistema", concluyeron los investigadores.
Te podría interesar: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Conclusión
El malware Rhadamanthys es un recordatorio de la necesidad de mantenerse vigilantes y proactivos en cuestiones de ciberseguridad. Su naturaleza adaptable y multifuncional lo convierte en una amenaza formidable para individuos y organizaciones. Adoptar medidas de seguridad sólidas y mantenerse informado sobre las últimas tendencias en ciberamenazas son pasos cruciales para protegerse en este entorno digital en constante evolución.