W ostatnim czasie, dużo mówi się o usłudze Malware-as-a-Service (MaaS). Pod tą kategorię na Dark Webie wpada opisywany tutaj Rhadamanthys – nowy, zyskujący na popularności malware, który wykrada informacje i rozprzestrzenia się za pomocą Google Ads. Analitycy Cyble przeprowadzili na swoim blogu dokładną analizę wirusa.
Hakerzy do dostarczenia ładunku ze złośliwym kodem na komputery ofiar wykorzystują głównie dwie metody. Pierwsza z nich to starannie stworzone strony phishingowe udające znane domeny, których używamy do pobrania znanego oprogramowania m. in. Zoom, AnyDesk, Notepad++. Adresy, które w tym przypadku odwiedzamy to: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com i zoom-meetings-install[.]com. Do wymienionych domen jesteśmy przekierowywani często przez Google Ads. Jeśli użytkownik da się nabrać, pobierze oprogramowanie, a następnie je uruchomi, to może w ogóle się nie zorientować, że instaluje wirusa. Następuje instalacja danej aplikacji, a w tle, po cichu, instalowany jest malware wykradający informacje bez wiedzy użytkownika.
Druga metoda to dostarczenie maili phishingowych z załączonym złośliwym oprogramowaniem przez plik PDF. Jeśli uruchomimy taki załącznik, zostaniemy poproszeni o aktualizację Adobe przez dostarczony link. Dalej procedura jest podobna jak w pierwszej metodzie. Pobieramy plik .exe i instalujemy w tle tzw. „info stealer”.
Rhadamanthys zachowuje się jak klasyczny malware wykradający informacje. Pliki instalacyjne są zaciemnione kodem Python, a sam ładunek to shellcode skompilowany za pomocą Microsoft Visual C/C++. Po uruchomieniu sprawdzane jest czy malware uruchomił się na maszynie wirtualnej, aby uniknąć analizy w bezpiecznych środowiskach. Jeśli tak się stanie, to powiązane procesy zostaną natychmiast zakończone. Jeśli jednak, oprogramowanie zostało uruchomione na komputerze ofiary, zostaną zebrane informacje takie jak: nazwa komputera, nazwa użytkownika, wersja systemu oraz inne dane dotyczące maszyny (wykorzystywane są zapytania WMI). Dodatkowo gromadzone są dane z przeglądarek – historia, zakładki, ciasteczka, dane logowania, a nawet informacje z portfeli kryptowalutowych. Rhadamanthys sięga również po dane z klientów FTP, VPN, poczty i komunikatorów. Wykradzione informacje przesyłane są do serwera C2.
Statystycznie, dla zwykłych użytkowników najbardziej niebezpieczny jest phishing. Przez obecną sytuację na świecie, narzędzia do pracy zdalnej stały się bardzo popularne, stąd nie dziwi fakt, że jest to wykorzystywane do rozprzestrzeniania złośliwego oprogramowania. Pamiętajmy jednak o ostrożności w otwieraniu załączników i instalowaniu programów z nieznanych źródeł lub takich, co do których mamy wątpliwości.
Źródła:
Rhadamanthys: New Stealer Spreading Through Google Ads
Sneaky New Stealer Woos Corporate Workers Through Fake Zoom Downloads
