Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VERSIÓN DEL STEALER RHADAMANTHYS

03/04/2024

NUEVA VERSIÓN DEL STEALER RHADAMANTHYS
La versión 0.5.0 de Rhadamanthys aborda diversas deficiencias presentes en versiones anteriores. Además de corregir errores, los desarrolladores han implementado nuevas funcionalidades y capacidades para la captura de información. Por ejemplo, en el caso de una infección en un sistema con un usuario administrador, se permite la recopilación de información de otras cuentas utilizadas en el mismo equipo. También se ha añadido un nuevo keylogger y un complemento de espionaje que admite acceso RDP.

Descripción:

Recientemente, se identificó la versión 0.5.0 del stealer Rhadamanthys, que ha ampliado sus capacidades para la captura de información, incorporando funcionalidades de espionaje y otras características de interés para ciberdelincuentes que adquieren este software malicioso en foros clandestinos de la Deep y Dark web.

El cargador inicial es un ejecutable de 32 bits que contiene la configuración generada por el comprador, así como el paquete de módulos adicionales. Este cargador es un componente crucial para la segunda etapa, donde se genera un loader en formato XS1. A diferencia de las versiones anteriores, donde se podían identificar las funcionalidades del módulo al realizar el volcado de cadenas, en esta versión los desarrolladores han decidido ofuscar las cadenas para dificultar el análisis del código.

Una vez completada la cadena de carga, la ejecución llega finalmente al módulo coredll.bin (en formato XS2), que constituye el módulo stealer responsable de todas las actividades maliciosas. Este módulo recopila información y la exfiltra a su servidor C2.

Debido a la presencia de múltiples módulos involucrados en la ejecución de diversas tareas, y dado que algunos de ellos se inyectan en procesos remotos, es necesario que se comuniquen con el módulo central (coredll.bin) para coordinar su trabajo y aprobar los resultados recopilados. Esta comunicación se implementa mediante un conductor creado por el módulo principal utilizando el nombre Core. Esta información concatenada se aplica mediante hash (SHA1), y el hash se utiliza para generar el nombre del conductor “pipe” único, siguiendo el patrón \.\pipe{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}.

Vector de infección:

Rhadamanthys puede distribuirse de diferentes formas según su comprador, ya que este software malicioso se adquiere en foros clandestinos de la Deep y Dark web, por lo cual puede ser entregado a través de múltiples métodos como lo es la ingeniería social o correos maliciosos de tipo phishing.

Recomendaciones:

Rhadamanthys puede ser mitigado o detectado en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Limitar los privilegios del usuario y utilizar el principio de privilegios mínimos. Esto puede ayudar a reducir el impacto si un sistema se ve comprometido.
  • Evitar hacer clic en anuncios sospechosos o enlaces enviados por correo electrónico no solicitado, del mismo modo al descargar software de fuentes desconocidas o no confiables.
  • Mantener un software antivirus actualizado para detectar y eliminar infecciones de malware, incluido Rhadamanthys.

Leer noticia: https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components/