Pengembang malware pencuri informasi Rhadamanthys baru-baru ini merilis dua versi utama untuk meningkatkan dan menyempurnakan secara menyeluruh fungsionalitasnya, termasuk penambahan kemampuan pencurian baru dan peningkatan penghindaran deteksi.
Rhadamanthys, yang pertama kali muncul pada Agustus 2022, merupakan malware pencuri informasi yang ditulis dalam bahasa pemrograman C++. Malware ini awalnya ditujukan untuk mencuri informasi seperti email, FTP, dan kredensial akun layanan perbankan online. Rhadamanthys dijual kepada pelaku kejahatan siber melalui model berlangganan, memungkinkan distribusi ke target melalui berbagai saluran, seperti malvertisasi, unduhan torrent, email, video YouTube, dan lainnya.
Meskipun awalnya tidak menarik banyak perhatian di pasar pencuri informasi, Rhadamanthys terus berkembang dan memperluas fungsionalitasnya secara modular sesuai kebutuhan. Peneliti dari Check Point menganalisis dua versi terbaru, yaitu versi 0.5.0 dan 0.5.1, melaporkan peningkatan signifikan dalam kemampuan pencurian dan fungsi mata-mata. Berikut beberapa rilis penelitiannya:
Targetted Crypto Apps
Apps targeted by the malware’s active stealers
Apps targeted by Rhadamanthys’ passive stealers
Versi 0.5.0 memperkenalkan sistem plugin baru yang memungkinkan penyesuaian tingkat lebih tinggi untuk distribusi yang lebih spesifik. Plugin ini memungkinkan penjahat dunia maya menambahkan berbagai kemampuan pada malware dan mengurangi jejak mereka dengan memuat hanya fungsi yang diperlukan dalam setiap kasus. Sebuah plugin yang disertakan dengan Rhadamanthys versi ini disebut ‘Data Spy,’ yang dapat memantau upaya login yang berhasil ke Remote Desktop Protocol (RDP) dan menangkap kredensial korban.
Selain itu, versi 0.5.0 membawa perbaikan pada konstruksi stub dan proses eksekusi klien, perbaikan pada sistem yang menargetkan “cryptocurrency wallets”, dan peningkatan pencurian data dari browser. Pembaruan juga mencakup perbaikan pada akuisisi token Discord, pembaruan pengaturan pencarian di panel pengguna, dan opsi untuk mengubah notifikasi Telegram.
Analisis lebih lanjut oleh Check Point terhadap versi 0.5.0 menunjukkan bahwa pemuat malware telah ditulis ulang untuk menyertakan pemeriksaan anti-analisis, konfigurasi tertanam, dan paket dengan modul untuk tahap berikutnya (XS1). Modul ini termasuk lima tambahan pada versi 0.5.0 yang fokus pada penghindaran deteksi.
Rhadamanthys versi 0.5.1, yang dirilis dengan cepat setelahnya, memperkenalkan beberapa fitur baru yang belum dikonfirmasi secara menyeluruh. Beberapa fitur tersebut melibatkan penggunaan plugin Clipper baru untuk mengalihkan pembayaran kripto, opsi pemberitahuan Telegram untuk mengungguli ZIP yang dieksfiltrasi, kemampuan pemulihan cookie Akun Google yang dihapus, dan kemampuan untuk menghindari deteksi Windows Defender.
Pengembangan Rhadamanthys berjalan dengan cepat, dan para pelaku ancaman tampaknya semakin tertarik pada malware ini karena peningkatan terus-menerus dalam fungsionalitasnya.
