Согласно новому отчёту Check Point Research, инфостилер Rhadamanthys получил значительное обновление до версии 0.5.0, добавив ряд новых функций и улучшений. Rhadamanthys теперь имеет многоуровневую структуру и разнообразные модули.
Последнее обновление включает в себя режим наблюдения, расширенные возможности построения шаблонов для различных сценариев использования, а также улучшенное исполнение клиентского процесса. Также исправлены ошибки в коде вызова системных функций и поддержка кошельков различных криптовалют, включая Metamask и Binance. Разработчики улучшили алгоритмы взлома и добавили поддержку новых типов данных.
Ключевым нововведением стало добавление обфускации строк и использование Thread Local Storage (TLC) для временных буферов, что позволяет скрывать строки кода от аналитических инструментов. Реализация различных алгоритмов обфускации указывает на повышенный уровень защиты от обнаружения.
Модуль netclient, отвечающий за связь с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2), был значительно модифицирован. Он теперь использует сложные механизмы для обхода анализа и отслеживания действий.
Особое внимание уделяется защите от анализа и мониторинга, включая проверку наличия запрещенных процессов и обход защиты браузеров. Помимо этого, в Rhadamanthys были добавлены новые компоненты для вторичной разработки, позволяя клиентам создавать свои собственные плагины.
Версия 0.5.1, выпущенная уже после публикации статьи Check Point, привнесла еще больше функций, включая модуль клиппера Clipper для отслеживания буфера обмена и замены адресов кошельков на адреса злоумышленников. Также улучшена работа с уведомлениями в Telegram и поддержка восстановления куки аккаунта Google.
Разработчики Rhadamanthys активно работают над совершенствованием своего продукта, делая его не только мощным инструментом для кражи данных, но и универсальным ботом, способным выполнять множество задач. Последнее обновление является очередным шагом в развитии сложного и многофункционального вредоносного ПО.