名为 Rhadamanthys 的信息窃取恶意软件的开发人员正在积极迭代其功能,扩大其信息收集能力,并整合插件系统以使其更具可定制性。 这种方法不仅将其转变为能够满足“特定分销商需求”的威胁,而且还使其更加强大,Check Point在上周发表的技术深入研究中表示。 Rhadamanthys 于 2022 年 10 月由 ThreatMon 首次记录,早在 2022 年 9 月,一名化名“kingcrete2022”的演员就以恶意软件即服务 (MaaS) 模式出售。 该恶意软件通常通过恶意网站进行分发,这些网站反映了通过 Google 广告宣传的正版软件,该恶意软件能够从受感染的主机中收集各种敏感信息,包括来自 Web 浏览器、加密钱包、电子邮件客户端、VPN 和即时消息应用程序。 这家以色列网络安全公司在 2022 年 3 月指出:“Rhadamanthys 代表了新兴恶意软件传统的一步,它试图尽可能多地做,也表明在恶意软件业务中,拥有强大的品牌就是一切。 随后在8月份对现成的恶意软件进行了调查,发现其“设计和实现”与Hidden Bee硬币矿工的“设计和实现”重叠。 “这种相似性在许多层面上都很明显:自定义可执行格式,使用类似的虚拟文件系统,某些组件的相同路径,重用的功能,类似使用隐写术,使用LUA脚本以及整体类似设计,”研究人员说,将恶意软件的发展描述为“快节奏和持续”。 在撰写本文时,根据威胁参与者的 Telegram 频道上的描述,Rhadamanthys 的当前工作版本为 0.5.2。 Check Point 对 0.5.0 和 0.5.1 版本的分析揭示了一个新的插件系统,它有效地使其更像是一把瑞士军刀,表明向模块化和定制的转变。这也允许窃取者客户部署针对其目标量身定制的其他工具。 窃取程序组件既是主动的,能够打开进程并注入旨在促进信息盗窃的额外有效负载,也是被动的,旨在搜索和解析特定文件以检索保存的凭据。 另一个值得注意的方面是使用 Lua 脚本运行器,它可以加载多达 100 个 Lua 脚本,以从加密货币钱包、电子邮件代理、FTP 服务、笔记应用程序、即时通讯工具、VPN、双因素身份验证应用程序和密码管理器中窃取尽可能多的信息。 版本 0.5.1 更进一步,添加了剪裁器功能,以更改与钱包地址匹配的剪贴板数据,以将加密货币支付转移到攻击者控制的钱包,以及恢复 Google 帐户 cookie 的选项,追随 Lumma Stealer 的脚步。 “作者不断丰富可用功能集,试图通过使其能够加载由分销商创建的多个扩展来使其不仅是一个窃取者,而且是一个多用途机器人,”安全研究员Aleksandra“Hasherezade”Doniec说。 网络安全 “增加的功能,如键盘记录器,以及收集有关系统的信息,也是使其成为通用间谍软件的一步。 AsyncRAT 的代码注入到 aspnet_compiler.exe# 这一发现是在趋势科技详细介绍新的AsyncRAT感染链之际发布的,该感染链利用名为aspnet_compiler.exe的合法Microsoft进程,用于预编译 ASP.NET Web应用程序,通过网络钓鱼攻击秘密部署远程访问木马(RAT)。 与 Rhadamanthys 将代码注入到正在运行的进程中的方式类似,多阶段进程最终将 AsyncRAT 有效负载注入到新生成的aspnet_compiler.exe进程中,最终与命令和控制 (C2) 服务器建立联系。 “根据嵌入式配置,AsyncRAT后门还有其他功能,”安全研究人员Buddy Tancio,Fe Cureg和Maria Emreen Viray说。“这包括反调试和分析检查、持久性安装和键盘记录。” 它还旨在扫描应用程序目录中的特定文件夹、浏览器扩展和用户数据,以检查是否存在加密钱包。最重要的是,已经观察到威胁行为者依靠动态 DNS (DDNS) 故意混淆他们的活动。 研究人员说:“使用动态主机服务器使威胁行为者能够无缝更新其IP地址,从而增强他们在系统中保持不被发现的能力。
评论 (0)