Rhadamanthys bilgi çalan kötü amaçlı yazılımın geliştiricileri, yakın zamanda, yeni çalma yetenekleri ve geliştirilmiş kaçırma da dahil olmak üzere, genel anlamda iyileştirmeler ve geliştirmeler eklemek için iki ana sürümü yayınladı.
Rhadamanthys, ilk olarak Ağustos 2022’de ortaya çıkan ve e-posta, FTP ve çevrimiçi bankacılık hizmeti hesabı kimlik bilgilerini hedefleyen bir C++ bilgi hırsızıdır.
Hırsız, bir abonelik modeli aracılığıyla siber suçlulara satılıyor; dolayısıyla kötü amaçlı reklamcılık, bağlantılı torrent indirmeleri, e-postalar, YouTube videoları ve daha fazlası dahil olmak üzere çeşitli kanallar kullanılarak hedeflere dağıtılıyor.
Başlangıçta kalabalık bilgi hırsızları pazarında fazla ilgi görmese de Rhadamanthys, gerektiğinde yeni özellikler eklemek için modüler doğasını geliştirerek gelişmeye devam etti.
Check Point’teki araştırmacılar, Rhadamanthys’in en son iki sürümünü incelediler ve çalma yeteneklerini ve casusluk işlevlerini genişleten çok sayıda değişiklik ve özelliğin eklendiğini bildirdi.
Aktif olarak geliştirilen kötü amaçlı yazılım
Check Point, Rhadamanthys 0.5.0 sürümünü analiz etti ve belirli dağıtım ihtiyaçları için daha yüksek düzeyde özelleştirmeye olanak tanıyan yeni bir eklenti sistemi sunduğunu bildirdi.
Eklentiler, kötü amaçlı yazılıma çok çeşitli yetenekler katabilir ve siber suçluların her durumda yalnızca ihtiyaç duyduklarını yükleyerek ayak izlerini en aza indirmelerine olanak tanır.
Yeni eklenti sistemi, tehdit aktörlerinin hedeflerine göre uyarlanmış eklentileri dağıtmasına, keşif aşamalarında belirlenen güvenlik önlemlerine karşı koymasına veya belirli güvenlik açıklarından yararlanmasına olanak tanıdığından, daha modüler ve özelleştirilebilir bir çerçeveye doğru bir geçişe işaret ediyor.
Rhadamanthys ile birlikte verilen bir eklenti, RDP’ye başarılı oturum açma girişimlerini izleyebilen ve kurbanın kimlik bilgilerini yakalayabilen ‘Data Spy’dır.
0.5.0 sürümü aynı zamanda iyileştirilmiş taslak oluşturma ve istemci yürütme süreci, kripto para birimi cüzdanlarını hedefleyen sistem üzerinde düzeltmeler ve Discord token alımıyla ilgili düzeltmeler de getirdi.
Diğer dikkate değer iyileştirmeler arasında tarayıcılardan gelişmiş veri çalma, kullanıcı panelindeki güncellenmiş arama ayarları ve Telegram bildirimlerini değiştirme seçeneği yer alıyor.
Check Point, kötü amaçlı yazılım yükleyicisinin, anti-analiz kontrollerini, yerleşik bir yapılandırmayı ve bir sonraki aşamaya (XS1) yönelik modülleri içeren bir paketi içerecek şekilde yeniden yazıldığını belirtiyor.
Daha ileri analizler, XS1 tarafından yüklenen aşağıdaki modüllerin varlığını ortaya çıkardı; bunlardan beşi Rhadamanthys 0.5.0 sürümünde yeni ve kaçınmaya odaklandı.
XS1 yükleyici, bu modülleri açar ve pasif ve aktif hırsızlar da dahil olmak üzere ek modülleri alıp başlattığı C2 (komuta ve kontrol) sunucusuyla iletişim kurar.
Pasif hırsızlar, dizinler arasında arama yapan, hassas veri alışverişi, kullanıcı girişleri vb. için uygulamaları izleyen, daha az müdahaleci bilgi çalma bileşenleridir.
Aktif hırsızlar daha istilacıdır ve mümkün olduğunca fazla veriyi sızdırmak için tuş kaydetme, ekran yakalama ve çalışan işlemlere kod ekleme işlemlerini içerir.
Check Point’in 0.5.0 sürümünü analiz ederken, Rhadamanthys operatörleri 0.5.1 sürümünü yayımladı, bu da oldukça aktif bir gelişimin işareti.
Check Point’in bilgi hırsızının yeni versiyonunu derinlemesine inceleme şansı olmadı ancak siber suçlular tarafından duyurulan yeni özellikler, henüz onaylanmamış olsa bile etkileyici.
Kısaca 0.5.1 şunları sunar:
- Kripto ödemelerini saldırgana yönlendirmek için pano verilerini değiştiren yeni Clipper eklentisi.
- Cüzdan çatlağını sızdırmak ve sızdırılan ZIP’in tohumunu çıkarmak için telgraf bildirim seçenekleri
- Silinen Google Hesabı çerezlerini kurtarma yeteneği (ilk olarak burada bildirildi)
- Saplamasını temizleyerek bulut koruması da dahil olmak üzere Windows Defender’dan kaçma yeteneği.
Rhadamanthys’in gelişimi hızla ilerliyor ve her yeni sürüm, aracı daha zorlu ve siber suçlular için daha çekici hale getiren özellikler ekliyor.
Gelişimi ilerledikçe tehdit aktörlerinin Rhadamanthys’e geçiş yaptığını görmek şaşırtıcı olmayacaktır.