InfoStealers Rhadamanthys ganha nova versão com roubo de impressão digital e pode ser ocultado em arquivos PNG

O mercado de malware como serviço (MaaS) testemunha uma nova e significativa evolução: o Rhadamanthys, um dos infostealers mais populares, acaba de ser atualizado para incluir técnicas avançadas como impressão digital de dispositivos e um método de entrega de payload oculto em arquivos de imagem PNG (esteganografia). As descobertas são da Check Point, que também revelou que os hackers por trás do malware estão expandindo seu "portfólio de negócios" com novas ferramentas.

O invasor responsável pelo Rhadamanthys, anteriormente promovido por um hacker conhecido como kingcrete2022, rebatizou suas operações como "RHAD security" e "Mythical Origin Labs", comercializando-se como "soluções inteligentes para inovação e eficiência". O Rhadamanthys, que já concorre com outros ladrões de destaque como Lumma, Vidar e StealC, está agora na versão 0.9.2. Além da atualização do principal malware, o hacker também anunciou duas novas ferramentas: Elysium Proxy Bot e Crypt Service, sinalizando uma abordagem de "empreendimento comercial de longo prazo", conforme destacou a pesquisadora da Check Point, Aleksandra "Hasherezade" Doniec.

O Rhadamanthys é oferecido em três pacotes de assinatura que variam de US$ 299 a US$ 499 por mês para a versão auto-hospedada, com opções mais avançadas, incluindo suporte técnico prioritário e acesso avançado à API. Esta estrutura de preços e marca, altamente profissionalizada, indica que o Rhadamanthys, com sua crescente base de clientes e um ecossistema em expansão, "provavelmente veio para ficar", segundo Doniec.

A versão mais recente do malware (0.9.2) apresenta um recurso de anti-análise semelhante ao do Lumma (v4.0): ele exibe um alerta que permite ao usuário interromper a execução do malware antes que o sistema seja infectado. Essa tática visa desencorajar distribuidores de malware de espalhar o executável desprotegido, protegendo os sistemas dos próprios hackers e dificultando os esforços de análise de segurança.

Entre as atualizações mais críticas está o aperfeiçoamento das verificações anti-sandbox. Um dos módulos executa uma bateria de testes, que inclui comparar processos em execução com uma lista proibida e confrontar o HWID (identificador de hardware) da máquina com uma lista predefinida. Outra verificação engenhosa envolve obter o papel de parede atual do sistema para compará-lo com um processo codificado que representa a sandbox do Triage. Somente após passar em todas essas verificações é que o malware estabelece conexão com um servidor de comando e controle (C2) para buscar o componente principal.

A entrega da carga útil principal (o stealer) utiliza agora uma técnica de esteganografia, onde o código malicioso é ocultado dentro de arquivos aparentemente inofensivos, como WAV, JPEG ou PNG. Após ser extraída do arquivo de imagem, a payload é descriptografada e executada. A Check Point ressalta que a descriptografia exige um "segredo compartilhado", estabelecido durante a comunicação inicial com o C2, adicionando uma camada extra de segurança para os hackers.

O módulo stealer propriamente dito foi equipado com um runner Lua integrado. Este recurso permite que o invasor execute plugins adicionais escritos em Lua, facilitando o roubo de dados e, crucialmente, permitindo uma extensa impressão digital de dispositivos e navegadores. Tais recursos aumentam o valor dos dados roubados, fornecendo aos hackers informações detalhadas sobre a máquina e o perfil da vítima.

Em resumo, a Check Point avalia que as mudanças representam uma "evolução, e não uma revolução", com o design principal do malware permanecendo intacto. No entanto, os analistas de segurança devem se preparar para monitorar a nova entrega de payload baseada em PNG, rastrear as alterações nos formatos de ID de bot e esperar uma maior rotatividade nas técnicas de ofuscação à medida que esta empresa de crime cibernético se estabelece como um ator de longo prazo.

Via - THN