Les développeurs du malware de vol d’informations Rhadamanthys ont récemment publié deux versions majeures pour ajouter des améliorations et des améliorations à tous les niveaux, y compris de nouvelles capacités de vol et une évasion améliorée.

Rhadamanthys est un voleur d’informations en C++ qui est apparu pour la première fois en août 2022, ciblant les informations d’identification des comptes de messagerie, FTP et des services bancaires en ligne.

Le voleur est vendu aux cybercriminels via un modèle d’abonnement, il est donc distribué aux cibles en utilisant une variété de canaux, y compris la publicité malveillante, les téléchargements de torrents entrelacés, les e-mails, les vidéos YouTube, etc.

Bien qu’il n’ait initialement pas reçu beaucoup d’attention sur le marché encombré des voleurs d’informations, Rhadamanthys a continué de s’améliorer, s’appuyant sur sa nature modulaire pour ajouter de nouvelles fonctionnalités au besoin.

Les chercheurs de Check Point ont examiné les deux dernières versions de Rhadamanthys et ont signalé l’ajout de nombreux changements et fonctionnalités qui étendent ses capacités de vol et ses fonctions d’espionnage.

Malware activement développé
Check Point a analysé la version 0.5.0 de Rhadamanthys et indique qu’elle a introduit un nouveau système de plug-ins qui permet des niveaux de personnalisation plus élevés pour des besoins de distribution spécifiques.

Les plugins pourraient ajouter un large éventail de fonctionnalités aux logiciels malveillants tout en permettant aux cybercriminels de minimiser leur empreinte en ne chargeant que ceux dont ils ont besoin dans chaque cas.

Le nouveau système de plugins indique une évolution vers un cadre plus modulaire et personnalisable car il permet aux acteurs de la menace de déployer des plugins adaptés à leurs cibles, contrecarrant les mesures de sécurité identifiées lors des étapes de reconnaissance ou exploitant des vulnérabilités spécifiques.

Un plugin fourni avec Rhadamanthys est « Data Spy », qui peut surveiller les tentatives de connexion réussies à RDP et capturer les informations d’identification de la victime.

La version 0.5.0 a également apporté une amélioration de la construction des stubs et du processus d’exécution du client, des correctifs sur le système qui cible les portefeuilles de crypto-monnaie et des correctifs sur l’acquisition de jetons Discord.

Applications cryptographiques ciblées

D’autres améliorations notables incluent le vol de données amélioré des navigateurs, la mise à jour des paramètres de recherche sur le panneau utilisateur et une option pour modifier les notifications Telegram.

CheckPoint note que le chargeur de logiciels malveillants a été réécrit pour inclure des contrôles anti-analyse, une configuration intégrée et un package avec des modules pour l’étape suivante (XS1).

Une analyse plus approfondie a révélé l’existence des modules suivants chargés par XS1, dont cinq sont nouveaux dans Rhadamanthys version 0.5.0 et se concentrent sur l’évasion.

Modules chargés par XS1

Le chargeur XS1 décompresse ces modules et établit la communication avec le serveur C2 (commande et contrôle), d’où il reçoit et lance des modules supplémentaires, y compris des voleurs passifs et actifs.

Les voleurs passifs sont des composants de vol d’informations moins intrusifs qui effectuent des recherches dans les répertoires, surveillent les applications pour l’échange de données sensibles, les entrées utilisateur, etc.

Les applications ciblées par les voleurs passifs de Rhadamanthys

Les voleurs actifs sont plus invasifs et impliquent l’enregistrement de frappe, la capture d’écran et l’injection de code dans les processus en cours pour exfiltrer autant de données que possible.

Applications ciblées par les voleurs actifs du malware

Alors que Check Point analysait la version 0.5.0, les opérateurs de Rhadamanthys ont publié la version 0.5.1, ce qui est un signe de développement très actif.

CheckPoint n’a pas eu la chance de se plonger dans la nouvelle version du voleur d’informations, mais les nouvelles fonctionnalités annoncées par les cybercriminels sont impressionnantes, même si elles ne sont pas encore confirmées.

En bref, 0.5.1 introduit:

  • Nouveau plugin Clipper, qui modifie les données du presse-papiers pour détourner les paiements cryptographiques vers l’attaquant.
  • Options de notification de télégramme pour exfiltrer la fissure et la graine du portefeuille dans le ZIP exfiltré
  • Possibilité de récupérer les cookies de compte Google supprimés (signalé pour la première fois ici)
  • Possibilité d’échapper à Windows Defender, y compris la protection du cloud, en nettoyant son talon.
Applications ciblées par le nouveau plugin Clipper

Le développement de Rhadamanthys évolue rapidement, chaque nouvelle version ajoutant des fonctionnalités qui rendent l’outil plus redoutable et plus invitant pour les cybercriminels.

Il ne serait pas surprenant de voir des acteurs de la menace passer à Rhadamanthys à mesure que son développement évolue.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *