En el oscuro mundo del ciberespionaje, el malware Rhadamanthys ha surgido como una amenaza cada vez más sofisticada y personalizable, capaz de satisfacer las “necesidades específicas de los distribuidores”. Desarrolladores anónimos, bajo el alias “kingcrete2022”, han estado perfeccionando activamente este malware ladrón de información, convirtiéndolo en una verdadera “navaja suiza” para aquellos que buscan robar datos confidenciales.
Rhadamanthys, opera bajo el modelo de malware como servicio (MaaS). Su método de distribución se camufla en sitios web maliciosos que imitan a software genuino, a menudo anunciados a través de anuncios de Google.
Lo que hace que Rhadamanthys sea especialmente peligroso es su capacidad para recopilar una amplia gama de información confidencial de sistemas comprometidos. Desde navegadores web y billeteras criptográficas hasta clientes de correo electrónico y aplicaciones de mensajería instantánea, este malware no deja piedra sin remover.
La última versión conocida, la 0.5.2, revela una nueva y preocupante característica: un sistema de complementos. Esta actualización transforma a Rhadamanthys en una herramienta modular y personalizable, permitiendo a los ciberdelincuentes adaptar el malware según sus objetivos específicos. No solo es un ladrón de información, sino que se ha convertido en un bot multipropósito, capaz de cargar múltiples extensiones creadas por distribuidores individuales.
El análisis realizado sobre las versiones 0.5.0 y 0.5.1 destaca un ejecutor de scripts Lua que puede cargar hasta 100 scripts para robar información de billeteras de criptomonedas, agentes de correo electrónico, servicios FTP, aplicaciones para tomar notas, mensajería instantánea, VPN, aplicaciones de autenticación de dos factores y administradores de contraseñas.
Además, la versión 0.5.1 va un paso más allá al incorporar la funcionalidad clipper, que altera los datos de los portapapeles relacionados con direcciones de billeteras criptográficas para desviar pagos a billeteras controladas por los atacantes. También puede recuperar cookies de cuentas de Google, siguiendo los pasos de Lumma Stealer.
Este enfoque enriquecido en características sugiere que los desarrolladores de Rhadamanthys están aspirando a convertirlo en un software espía de propósito general, con capacidades de keylogging y recopilación de información sobre el sistema.
Mientras tanto, las nuevas cadenas de infección del troyano de acceso remoto AsyncRAT, que comparte similitudes con la inyección de código utilizada por Rhadamanthys. Estos ataques furtivos aprovechan el proceso legítimo de Microsoft llamado aspnet_compiler.exe para implementar sigilosamente el RAT a través de ataques de phishing.
Este juego evolutivo entre los ciberdelincuentes y los defensores de la ciberseguridad destaca la constante necesidad de vigilancia y adaptación en el mundo digital. La comunidad de seguridad informática está alerta ante estos desarrollos, trabajando incansablemente para contrarrestar las amenazas emergentes y proteger la integridad de la información digital.
