تطور برنامج Rhadamanthys Stealer: إضافة بصمات الأجهزة وحقائب البيانات المخفية بصيغة PNG
المهاجم الذي يقف وراء Rhadamanthys قد أعلن أيضًا عن أداتين أخريين تُدعيان Elysium Proxy Bot وCrypt Service على موقعه الإلكتروني، في الوقت الذي تم فيه تحديث برنامج سرقة المعلومات الرئيسي لدعمه القدرة على جمع بصمات الأجهزة ومتصفحات الويب، من بين أمور أخرى.
قالت الباحثة في Check Point، ألكسندرا “Hasherezade” دونيك، في تقرير جديد: “تم الترويج لبرنامج Rhadamanthys في البداية من خلال منشورات على منتديات الجريمة الإلكترونية، لكن سرعان ما أصبح واضحًا أن المؤلف كان لديه خطة أكثر طموحًا للتواصل مع العملاء المحتملين وبناء رؤية”.
تم الإعلان عنه لأول مرة من قبل مهاجم يُدعى kingcrete2022، وقد برز Rhadamanthys كواحد من أكثر برامج سرقة المعلومات شعبية المتاحة تحت نموذج البرمجيات كخدمة (MaaS) جنبًا إلى جنب مع Lumma وVidar وStealC، ومؤخراً Acreed. الإصدار الحالي من البرنامج هو 0.9.2.
على مر السنين، توسعت قدرات البرنامج لتتجاوز جمع البيانات البسيط، مما يمثل تهديدًا شاملاً للأمن الشخصي والعملي. في تحليل للإصدار 0.7.0 من البرمجية في أكتوبر الماضي، قامت Recorded Future بتفصيل إضافة ميزة جديدة تعتمد على الذكاء الاصطناعي (AI) للتعرف على النصوص البصرية (OCR) لالتقاط عبارات كلمات مرور محافظ العملات المشفرة.
تظهر أحدث النتائج من Check Point أن المهاجمين أعادوا تسمية أنفسهم كـ “RHAD security” و”Mythical Origin Labs”، مسوقين عروضهم كـ “حلول ذكية للابتكار والكفاءة”.
حزم وأسعار Rhadamanthys
يتوفر Rhadamanthys في ثلاث حزم متدرجة، تبدأ من 299 دولارًا في الشهر للإصدار المستضاف ذاتيًا إلى 499 دولارًا في الشهر الذي يأتي مع فوائد إضافية، بما في ذلك دعم فني ذي أولوية، وخادم، والوصول المتقدم إلى واجهة برمجة التطبيقات. يمكن للعملاء المحتملين أيضًا شراء خطة مؤسسية من خلال الاتصال بفريق المبيعات مباشرة.
أشارت Hasherezade إلى أن “تركيبة العلامة التجارية، ومحفظة المنتجات، وهيكل التسعير تشير إلى أن المؤلفين يعاملون Rhadamanthys كمشروع تجاري طويل الأمد بدلاً من مشروع جانبي”. “بالنسبة للمدافعين، فإن هذه الاحترافية تشير إلى أن Rhadamanthys مع قاعدة عملائه المتزايدة ونظامه البيئي المتوسع من المحتمل أن يبقى، مما يجعل من المهم تتبع ليس فقط تحديثات البرمجيات الخبيثة ولكن أيضًا البنية التحتية التجارية التي تدعمها”.
ميزات جديدة في الإصدار 0.9.2
مثل إصدار Lumma 4.0، يتضمن Rhadamanthys الإصدار 0.9.2 ميزة لتجنب تسرب العناصر غير المحمية من خلال عرض تنبيه للمستخدم يسمح له بإنهاء تنفيذ البرمجية الخبيثة دون إلحاق أي ضرر بالجهاز الذي تعمل عليه.
يتم ذلك في محاولة لمنع موزعي البرمجيات الخبيثة من نشر الملف التنفيذي الأولي في شكله العادي وغير المحمي لتقليل جهود الكشف، وكذلك منع أنظمتهم من الإصابة في هذه العملية. ومع ذلك، بينما قد تكون رسالة التنبيه هي نفسها في كلا البرمجتين، فإن التنفيذ مختلف تمامًا، حسبما ذكرت Check Point، مما يشير إلى “تقليد سطحي”.
“في Lumma، يتم فتح الملف وقراءته عبر استدعاءات النظام الخام، ويتم تنفيذ مربع الرسالة عبر NtRaiseHardError”، كما أضافت. “في Rhadamanthys، لا تُستخدم استدعاءات النظام الخام، ويتم عرض نفس مربع الرسالة بواسطة MessageBoxW. كلا المحملين مُعتمين، لكن أنماط التعتيم مختلفة”.
تتعلق التحديثات الأخرى لـ Rhadamanthys بتعديلات طفيفة على تنسيق XS المخصص المستخدم لشحن الوحدات التنفيذية، والتحقق من الشروط التي يتم تنفيذ البرمجية الخبيثة بناءً عليها على المضيف، والتكوين المُعتم الذي تم تضمينه فيه. تمتد التعديلات أيضًا إلى تعتيم أسماء الوحدات لتجنب الكشف.
تتحمل إحدى الوحدات، التي كانت تُعرف سابقًا باسم Strategy، مسؤولية سلسلة من الفحوصات البيئية للتأكد من أنها لا تعمل في بيئة محمية. علاوة على ذلك، تتحقق من العمليات الجارية مقابل قائمة من العمليات المحظورة، وتحصل على خلفية الشاشة الحالية، وتتحقق منها مقابل واحدة مشفرة تمثل صندوق Triage.
كما تقوم بإجراء فحص للتأكد من أن اسم المستخدم الحالي يتطابق مع أي شيء يشبه تلك المستخدمة في صناديق الرمل، وتقارن مُعرف الجهاز (HWID) الخاص بالجهاز مع قائمة محددة مسبقًا، مرة أخرى للتحقق من وجود صندوق رمل. فقط عندما يتم اجتياز جميع هذه الفحوصات، يتقدم العينة لإقامة اتصال مع خادم القيادة والتحكم (C2) لجلب المكون الأساسي للبرنامج.
يتم إخفاء الحمولة باستخدام تقنيات التشفير الخفي، إما كملف WAV أو JPEG أو PNG، حيث يتم استخراجها وفك تشفيرها وإطلاقها. من الجدير بالذكر أن فك تشفير الحزمة من PNG يتطلب سر مشترك يتم الاتفاق عليه خلال المرحلة الأولية من الاتصال C2.
تحتوي وحدة السرقة، من جانبها، على مشغل Lua مدمج يخدم إضافات إضافية مكتوبة بلغة البرمجة لتسهيل سرقة البيانات وإجراء بصمات الأجهزة والمتصفحات بشكل شامل.
قالت Check Point: “يمثل المتغير الأخير تطورًا بدلاً من ثورة. يجب على المحللين تحديث محللات التكوين الخاصة بهم، ومراقبة تسليم الحمولة المعتمدة على PNG، وتتبع التغييرات في تنسيقات mutex وbot ID، وتوقع المزيد من التغييرات في التعتيم مع تطور الأدوات”.
“حاليًا، التطوير أبطأ وأكثر استقرارًا: يبقى التصميم الأساسي سليمًا، مع التركيز على التعديلات – مثل مكونات جديدة للسرقة، وتغييرات في التعتيم، وخيارات تخصيص أكثر تقدمًا.”
