Tác nhân đe dọa đứng sau Rhadamanthys cũng đã quảng cáo hai công cụ khác là Elysium Proxy Bot và Crypt Service trên trang web của chúng, ngay cả khi công cụ đánh cắp thông tin hàng đầu này đã được cập nhật để hỗ trợ khả năng thu thập dấu vân tay thiết bị và trình duyệt web, cùng nhiều tính năng khác.
"Rhadamanthys ban đầu được quảng bá thông qua các bài đăng trên các diễn đàn cybercrime, nhưng sau đó rõ ràng tác giả có kế hoạch lớn hơn để kết nối với khách hàng tiềm năng và xây dựng sự hiện diện," nhà nghiên cứu Aleksandra "Hasherezade" Doniec của Check Point cho biết trong một báo cáo mới.
Được quảng cáo lần đầu bởi một tác nhân đe dọa tên kingcrete2022, Rhadamanthys đã nổi lên như một trong những information stealer phổ biến nhất có sẵn dưới mô hình malware-as-a-service (MaaS) cùng với Lumma, Vidar, StealC, và gần đây hơn là Acreed. Phiên bản hiện tại của stealer này là 0.9.2.
Trong nhiều năm qua, khả năng của stealer đã mở rộng vượt xa việc thu thập dữ liệu đơn thuần, đại diện cho một mối đe dọa toàn diện đối với an ninh cá nhân và doanh nghiệp. Trong một phân tích về phiên bản 0.7.0 của malware vào tháng 10 năm ngoái, Recorded Future đã trình bày chi tiết về việc bổ sung một tính năng artificial intelligence (AI) mới cho optical character recognition (OCR) để thu thập các cryptocurrency wallet seed phrases.
Những phát hiện mới nhất từ Check Point cho thấy các tác nhân đe dọa đã đổi tên thành "RHAD security" và "Mythical Origin Labs," tiếp thị các sản phẩm của họ là "giải pháp thông minh cho sự đổi mới và hiệu quả."
Rhadamanthys có sẵn trong ba gói với các cấp độ khác nhau, bắt đầu từ 299 USD mỗi tháng cho phiên bản self-hosted đến 499 USD mỗi tháng đi kèm với các lợi ích bổ sung, bao gồm hỗ trợ kỹ thuật ưu tiên, server và quyền truy cập API nâng cao. Khách hàng tiềm năng cũng có thể mua gói Enterprise bằng cách liên hệ trực tiếp với nhóm bán hàng của họ.
"Sự kết hợp giữa branding, danh mục sản phẩm và cấu trúc giá cả cho thấy các tác giả coi Rhadamanthys là một liên doanh kinh doanh dài hạn hơn là một dự án phụ," Hasherezade lưu ý. "Đối với các nhà phòng thủ, sự chuyên nghiệp hóa này báo hiệu rằng Rhadamanthys với cơ sở khách hàng ngày càng tăng và hệ sinh thái mở rộng có thể sẽ tồn tại lâu dài, khiến việc theo dõi không chỉ các malware updates của nó mà còn cả business infrastructure duy trì nó trở nên quan trọng."
Giống như Lumma version 4.0, Rhadamanthys version 0.9.2 bao gồm một tính năng để tránh rò rỉ các unpacked artifacts bằng cách hiển thị cảnh báo cho người dùng, cho phép họ kết thúc quá trình thực thi của malware mà không gây hại cho máy tính đang chạy nó.
Điều này được thực hiện nhằm ngăn chặn các nhà phân phối malware phát tán tệp executable ban đầu dưới dạng thuần túy, không được bảo vệ để hạn chế các nỗ lực detection, cũng như tránh hệ thống của họ bị nhiễm mã độc trong quá trình này. Tuy nhiên, Check Point cho biết, mặc dù thông báo cảnh báo có thể giống nhau ở cả hai stealer, nhưng cách triển khai hoàn toàn khác, cho thấy đây là "surface-level mimicry."
"Trong Lumma, việc mở và đọc tệp được triển khai thông qua raw syscalls, và hộp thông báo được thực thi qua NtRaiseHardError," báo cáo lưu ý. "Trong Rhadamanthys, raw syscalls không được sử dụng, và cùng một hộp thông báo được hiển thị bởi MessageBoxW. Cả hai loaders đều obfuscated, nhưng các obfuscation patterns khác nhau."
Các bản cập nhật khác cho Rhadamanthys liên quan đến những điều chỉnh nhỏ đối với định dạng custom XS được sử dụng để chuyển các executable modules, các kiểm tra được thực hiện để xác nhận xem malware có nên tiếp tục thực thi trên host hay không, và cấu hình obfuscated được nhúng vào nó. Các sửa đổi cũng mở rộng sang việc obfuscating tên của các modules để tránh bị phát hiện.
Một trong các modules, trước đây được gọi là Strategy, chịu trách nhiệm cho một loạt các kiểm tra môi trường để đảm bảo rằng nó không chạy trong một sandboxed environment. Hơn nữa, nó kiểm tra các running processes so với một danh sách các forbidden ones, lấy hình nền hiện tại và xác minh nó so với một hình nền hard-coded đại diện cho Triage sandbox.
Nó cũng chạy một kiểm tra để xác nhận xem username hiện tại có khớp với bất kỳ cái tên nào giống với những cái được sử dụng cho sandboxes hay không, và so sánh HWID (hardware identifier) của máy với một predefined list, một lần nữa để xác định sự hiện diện của một sandbox. Chỉ khi tất cả các kiểm tra này được thông qua, mẫu mới tiếp tục thiết lập kết nối với một command-and-control (C2) server để lấy core component của stealer.
Payload được che giấu bằng các steganographic techniques, dưới dạng tệp WAV, JPEG, hoặc PNG, từ đó nó được trích xuất, decrypted và khởi chạy. Điều đáng chú ý là việc decrypting gói từ PNG yêu cầu một shared secret được thống nhất trong giai đoạn ban đầu của C2 communication.
Bản thân stealer module được trang bị một Lua runner tích hợp, phục vụ các plugins bổ sung được viết bằng ngôn ngữ lập trình để tạo điều kiện thuận lợi cho việc data theft và thực hiện extensive device and browser fingerprinting.
"Biến thể mới nhất đại diện cho một sự tiến hóa hơn là một cuộc cách mạng. Các nhà phân tích nên cập nhật config parsers của họ, giám sát việc phân phối payload dựa trên PNG, theo dõi các thay đổi trong mutex và bot ID formats, và dự kiến sự thay đổi liên tục trong obfuscation khi các công cụ bắt kịp," Check Point cho biết.
"Hiện tại, quá trình phát triển diễn ra chậm hơn và ổn định hơn: thiết kế cốt lõi vẫn còn nguyên vẹn, với những thay đổi tập trung vào các cải tiến – chẳng hạn như các stealer components mới, những thay đổi trong obfuscation, và các tùy chọn tùy chỉnh nâng cao hơn."
