Rhadamanthys greift via Google Ads an

Rhadamanthys, ein nach dem kretischen Sohn von Zeus und Europa benannter Infostealer, treibt seit Dezember 2022 sein Unwesen. Es handelt sich dabei konkreter um einen bösartigen, in C++ geschriebenen Infostealer, der hauptsächlich über Google-Anzeigen verbreitet wird. Rhadamanthys ist in der Lage, Anmeldeinformationen von verschiedenen Anwendungen zu stehlen – von Webbrowsern, VPN-Clients, E-Mail-Clients, Chat-Clients oder auch von Kryptowährungs-Wallets. 

Die Malware besteht aus einem Loader und einem Hauptmodul, welches für das Exfiltrieren der gesammelten Anmeldedaten zuständig ist. Sie basiert auf Open-Source-Bibliotheken und hat komplexe Anti-Analyse-Techniken implementiert. Um seinen Code zu schützen, verwendet Rhadamanthys eine virtuelle Maschine basierend auf der Quake III-Engine, eine Variante des Hidden Bee-Formats sowie ein eigenes Dateisystem, welches einen zusätzlichen Satz von eingebetteten Modulen enthält. Dank eines Implementierungsfehlers konnte die Netzwerkkommunikation des Loaders und des Hauptmoduls dennoch von den ThreatLabZ-ForscherInnen geknackt und anschließend analysiert werden.  

Analyse durch ThreatLabZ 

Das Forscherteam hat den Ladeprozess in Initialisierung, Dekompression und den eigentlichen Ladevorgang eingeteilt, wobei zwei unterschiedliche Loader zum Einsatz kommen. Wird der Shellcode-Loader des Hauptmoduls ausgeführt, leitet dieser einen AES-Schlüssel aus dem öffentlichen Schlüssel und dem Salt-Wert der Konfigurationsstruktur ab und die letzte Schicht des Hauptmoduls wird entschlüsselt. An dieser Stelle folgt eine weitere Anspielung auf die griechische Mythologie - der entschlüsselte Output startet mit dem String <!HADES>. Mit dem LZSS-Algorithmus wird anschließend die entschlüsselte Ausgabe dekomprimiert.  

Bei der Ausführung der Malware wird ThreatLabZ zufolge die C-Funktionszeit aufgerufen, um die aktuelle Ortszeit des kompromittierten PCs zu ermitteln. Es folgt ein einem Aufruf der srand-Funktion mit der Zeit als Seed. Der geheime Skalarwert wird schließlich durch Aufruf der C-Funktion rand erzeugt. Wenn eine Netzwerkaufzeichnung der ersten Anfrage an den Server gestellt wird, die sowohl den öffentlichen Schlüssel als auch die Epoch-Zeit enthält, können die generierten Schlüssel mit Brute-Force erzwungen werden.  

Erkennung und Markierung mittels KI 

Die Zscaler Cloud Sandbox, die weltweit erste KI-gestützte Engine zur Abwehr von Malware, erkennt die Malware ebenso wie unterschiedliche Indicators of Compromise auf verschiedenen Ebenen. Sie vergibt daraufhin den Bedrohungsnamen "WIN32.PWS.Rhadamanthys".  

Quellen: Infopoint Security & zscaler