Rhadamanthys emergiu como um dos programas de malware ladrões mais perigosos desde sua primeira aparição em 2022.
Esta ameaça avançada continua a desafiar as equipas de segurança com a sua capacidade de roubar dados sensíveis de sistemas infectados, evitando ao mesmo tempo a detecção pelas ferramentas de segurança tradicionais.
O malware tornou-se particularmente notório pela sua utilização em ataques direcionados contra empresas e indivíduos em todo o mundo, com agentes de ameaças a utilizá-lo para recolher credenciais, informações financeiras e outros dados valiosos de máquinas comprometidas.
O componente carregador do Rhadamanthys se destaca como uma conquista técnica no desenvolvimento de malware. Ao contrário da carga útil do ladrão em si, o carregador serve como mecanismo de entrega inicial que prepara o sistema para infecção.
O que torna este carregador particularmente desafiador para os pesquisadores de segurança é a implementação de múltiplas camadas de proteção projetadas para evitar análise e detecção.
Essas proteções incluem técnicas de ofuscação personalizadas que embaralham a estrutura do código, tornando extremamente difícil para ferramentas automatizadas e analistas humanos entenderem o que o malware faz.
Os pesquisadores de segurança do Cyber.wtf identificaram recentemente várias técnicas importantes empregadas pelo carregador Rhadamanthys para evitar detecção e análise.
O malware implementa um sistema anti-sandbox exclusivo que monitora o comportamento do usuário antes de executar sua carga.
Além disso, o carregador usa nivelamento de fluxo de controle e ofuscação de alvo de salto, duas técnicas avançadas que quebram o fluxo normal de execução de código.
Esses métodos basicamente transformam o programa em um quebra-cabeça onde cada peça parece desconectada das outras, impedindo que as ferramentas de segurança mapeiem como o malware opera.
Gráfico de fluxo de controle para função principal do carregador (Fonte – Cyber.wtf)
A carga transportada pelo carregador é codificada usando um algoritmo personalizado que os autores do malware chamam de Flutter. Esse esquema de codificação converte dados binários em texto que se parece com caracteres aleatórios, ajudando o malware a ocultar seu verdadeiro propósito dos scanners de segurança.
A carga codificada é ainda protegida pela criptografia SM4, uma cifra de bloco chinesa que adiciona outra camada de segurança. Juntas, estas proteções criam uma barreira formidável que permitiu ao Rhadamanthys permanecer eficaz, apesar dos esforços contínuos dos investigadores de segurança para o combater.
Evasão de detecção por meio de análise do comportamento do usuário
O carregador Rhadamanthys implementa um sistema de análise baseado em tempo que monitora a atividade do usuário por pelo menos 45 segundos antes de executar a carga útil do ladrão.
Esse mecanismo anti-sandboxing usa um retorno de chamada de temporizador que coleta posições do cursor, informações da janela em primeiro plano e carimbos de data/hora a cada 30 milissegundos para 1.500 iterações.
O malware então analisa esses dados coletados para determinar se estão sendo executados em um ambiente de usuário real ou em um sistema de análise automatizado.
O carregador realiza verificações específicas nos dados coletados para validar o ambiente. Primeiro, verifica se a posição do cursor mudou pelo menos 30 vezes durante o período de monitoramento.
Segundo, verifica a presença de pelo menos duas janelas diferentes em primeiro plano, com pelo menos uma janela que não pertence ao processo da área de trabalho.
Se essas condições não forem atendidas, o malware entra em outro ciclo de monitoramento de 45 segundos com verificações avançadas que calculam distâncias euclidianas entre as posições do cursor para detectar padrões de movimento não humanos.
Esse sistema de detecção baseado em comportamento ignora efetivamente muitos ambientes de análise automatizados que não simulam uma interação realista do usuário.
No entanto, sandboxes avançados como CAPE e VMRay se adaptaram a essas técnicas e podem acionar com êxito a execução da carga útil.
O carregador cria uma janela invisível e usa arquitetura baseada em mensagens para enfileirar e executar funções por meio de retornos de chamada de timer, dificultando o rastreamento do fluxo de execução sem a desofuscação adequada da estrutura de código subjacente.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
