Rhadamanthys

¿Qué es?

Rhadamanthys es un malware de tipo troyano stealer, que se enfoca en infectar dispositivos Windows y se ofrece como Malware as a Service (MaaS) en foros de ciberdelincuencia para robar y exfiltrar credenciales, criptomonedas y otros datos sensibles. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Roba masivamente credenciales y datos sensibles, donde se incluyen contraseñas, cookies de navegadores web, datos de gestores de contraseñas como KeePass y credenciales de clientes VPN, de correo electrónico y de aplicaciones de mensajería, entre otros.
• Roba criptomonedas mediante la extracción de la información de los monederos instalados en los equipos comprometidos y en las extensiones de sus navegadores.
• Captura las imágenes de pantalla y el audio emitido por los equipos comprometidos.
• Emplea capacidades de OCR y de Inteligencia Artificial para identificar y extraer frases semilla de monederos a partir de imágenes.
• Inventaria, perfila y recopila información sobre los sistemas operativos, hardware, software instalado, procesos en ejecución y configuración de red de los equipos comprometidos para enriquecer el perfil de las víctimas y ayudar a los atacantes a priorizar objetivos.
• Exfiltra y envía los datos robados a sus servidores de mando y control (C2), donde los operadores gestionan las víctimas y comercializan paquetes de credenciales (incluidas cuentas de correo, servicios corporativos y monederos de criptomonedas).
• Permite la descarga y ejecución de otros payloads maliciosos en los equipos comprometidos.
• Utiliza técnicas avanzadas de evasión mediante empaquetadores personalizados, ofuscación, anti-VM y anti-debug.
• Utilizan máquinas virtuales embebidas para virtualizar partes de su código malicioso y dificultar su análisis y detección.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de descargas falsas disfrazadas de software legítimo, a través de publicidad maliciosa (malvertising) que redirige a sitios web comprometidos, a través de enlaces fraudulentos enviados por correos electrónicos de phishing que incitan a realizar descargas fraudulentas sin el conocimiento de los usuarios, a través de la explotación de vulnerabilidades del sistema operativo y de su software y a través de cadenas multi-etapa mediante otros loaders intermedios.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Detección de Malware Rhadamanthys: Nuevo Infostealer Distribuido a través de Anuncios de Google y Correos Electrónicos de Spam para Atacar Monederos de Criptomonedas y Robar Información Sensible (SOC Prime)
• Rhadamanthys Malware (A3Sec)
• NUEVA VERSIÓN DEL STEALER RHADAMANTHYS (CSIRT Financiero)
• Behavior:Win32/Rhadamanthys.A (Microsoft)
• Malware Rhadamanthys: La Nueva Campaña de Phishing Dirigida al Sector de Petróleo y Gas. (Ciber Prisma)
• Rhadamanthys delivered via phishing campaign (Broadcom)
• Rhadamanthys (Malpedia)