O infostealer automatiza coleta de dados de navegadores, carteiras de criptomoedas e arquivos locais, enquanto usa evasão de sandbox, resolução dinâmica de APIs e carregamento final a partir de C2 ofuscado.
| Componente | Rhadamanthys, um infostealer comercializado em fóruns criminosos e entregue por cadeias com droppers, shellcodes, instaladores e estágio final de roubo de informações. |
| Vetor | Campanhas oportunistas de infecção distribuídas por operadores do malware; um caso citado usou anúncios no Google para promover amostras disfarçadas de software de edição de vídeo, como OBS Studio. |
| Impacto | Coleta automatizada de credenciais, dados de navegadores, informações de carteiras de criptomoedas, arquivos definidos por consulta de busca do Windows e possível execução de PowerShell preparado pelo operador no sistema infectado. |
| Prioridade | Priorizar detecção de cadeias de carregamento, acesso anômalo a bancos de dados de navegadores, consultas em massa a arquivos sensíveis, sinais de evasão de sandbox e comunicação com C2 ofuscado. |
| Artefatos | O fluxo analisado envolve criação de processo suspenso a partir de C:\Windows\Microsoft[.]Net\Framework\v4.0.30319\AppLaunch.exe, substituição de seções por código injetado, evasões inspiradas no projeto Al-Khaser e tentativa de desfazer hooks em ntdll.dll. |
| Alvos de dados | O malware busca informações em navegadores, arquivos como login data, bancos SQL, conteúdo JSON e diversas carteiras ou extensões de criptomoedas, incluindo famílias como Metamask, Exodus, Phantom, Electrum e Monero. |
Rhadamanthys é um infostealer projetado para maximizar a quantidade de fontes locais de informação processadas após a infecção. O malware apareceu em setembro de 2022 em ambiente criminoso e foi promovido como produto pronto para operadores que desejavam executar campanhas de roubo de dados em larga escala. A característica central não é uma técnica isolada, mas a combinação de grande cobertura funcional com uma cadeia de execução que dificulta análise estática e dinâmica. O conjunto observado inclui módulos para capturar credenciais de navegadores, dados de carteiras de criptomoedas, arquivos selecionados por consulta no Windows e conteúdo estruturado em bancos SQL ou JSON.
A operação típica descrita é oportunista e distribuída, com vítimas espalhadas por diferentes países e exclusão declarada de alvos na Comunidade dos Estados Independentes. Esse padrão aumenta a chance de infecções incidentais em organizações de grande porte, mesmo quando o objetivo imediato do operador é monetização em volume. Foram observadas tentativas envolvendo uma agência governamental no Canadá e uma empresa de energia ligada ao setor de infraestrutura na Índia. Esses casos não demonstram, por si só, uma campanha direcionada de espionagem, mas mostram que malware de roubo massivo pode tocar ambientes sensíveis por estatística e por alcance de distribuição.
O risco operacional vem da amplitude dos dados coletados e da possibilidade de uso posterior por terceiros. Credenciais de navegador, tokens de sessão, dados de carteira, arquivos locais e artefatos de identidade podem servir para fraude, acesso indevido a serviços, sequestro de ativos digitais ou preparação de intrusões adicionais. A defesa deve tratar o evento como comprometimento de endpoint com exposição de segredos locais, mesmo que não haja evidência automática de movimentação lateral ou invasão profunda. A resposta precisa separar o que foi observado tecnicamente do que é apenas consequência possível.
A cadeia de execução analisada passa por vários estágios antes de chegar à rotina de roubo. O fluxo envolve componentes de entrega, shellcodes, instaladores e um estágio final responsável por localizar, decodificar e organizar os dados que serão enviados ao operador. Em uma execução observada, uma DLL de carregamento baseada em NSIS cria um processo suspenso a partir de C:\Windows\Microsoft[.]Net\Framework\v4.0.30319\AppLaunch.exe e substitui as seções desse processo por código malicioso. Esse comportamento é relevante para hunting porque desloca a execução para um binário legítimo do Windows, reduzindo a utilidade de buscas baseadas apenas no nome do processo.
Depois da injeção, o código carrega estágios adicionais em sequência. Um desses estágios executa várias verificações de ambiente virtual inspiradas no projeto Al-Khaser, indicando tentativa de detectar sandbox, depurador ou artefatos de análise automatizada. O fluxo também tenta desfazer hooks em ntdll.dll, uma técnica usada para reduzir visibilidade de produtos de segurança que interceptam chamadas de API em modo usuário. Ao fim da sequência, o malware resolve internamente um endereço C2 ofuscado e baixa o estágio final que contém a funcionalidade de coleta de informações. O endereço específico não aparece no material analisado, portanto a defesa deve buscar o comportamento de resolução e conexão, não um indicador estático inexistente.
A rotina de roubo trabalha sobre diferentes formatos de dados. Para bancos usados por navegadores, o malware acessa arquivos de interesse, inicializa uma base SQL em memória a partir do conteúdo e consulta campos específicos para extrair valores úteis. Para arquivos JSON, a lógica muda para parsing de chaves e extração de valores. Esse padrão explica a grande superfície de coleta: cada navegador, extensão ou carteira digital exige variações pequenas da mesma técnica, com caminhos, esquemas e campos adaptados. O resultado é agregado em uma base de dados de informações roubadas que será reportada ao operador.
Além da coleta automática, o operador pode modificar a configuração do módulo de captura de arquivos para procurar documentos que correspondam a consultas de busca do Windows. O malware também oferece capacidade de receber PowerShell preparado manualmente para execução no sistema comprometido. Essa funcionalidade não deve ser interpretada como prova de exploração remota autônoma ou movimentação lateral em todos os casos, mas amplia o impacto quando o operador decide interagir com a máquina. Em resposta, a presença de Rhadamanthys deve acionar revisão de execução de scripts, histórico de processos filhos e qualquer atividade que tenha ocorrido após o carregamento do estágio final.
A superfície mais exposta são estáções Windows usadas por usuários que armazenam credenciais, cookies, perfis de navegador, carteiras de criptomoedas ou arquivos sensíveis localmente. O texto técnico descreve suporte a navegadores amplamente usados e também a navegadores de baixa participação, como KMeleon e Pale Moon, o que reforça a abordagem de cobertura extensa. A lista de carteiras e extensões é igualmente ampla, com alvos como Metamask, Exodus, Phantom, Electrum, Monero, AtomicWallet, Jaxx, Yoroi, Ronin, Zcash e outras famílias. A existência de muitos alvos não confirma que todos estejam presentes em uma vítima, mas indica que o binário tenta obter valor de quase qualquer perfil de usuário encontrado.
Ambientes corporativos ficam particularmente expostos quando usuários misturam navegação pessoal, carteiras digitais, extensões de navegador e acesso a serviços internos na mesma estáção. Mesmo sem evidência de exploração ativa contra infraestrutura de servidor, o comprometimento de credenciais de navegador pode afetar contas SaaS, painéis administrativos, repositórios, serviços de nuvem e sistemas internos acessados via web. Quando a infecção ocorre em órgão público, energia, infraestrutura ou outros setores sensíveis, o tratamento deve considerar o endpoint como fonte de possíveis segredos reutilizáveis, e não apenas como caso de fraude individual.
A cadeia também afeta processos de análise defensiva. A presença de resolução dinâmica de APIs, tabela caseira de funções, uso de dump de memória órfão, evasões de sandbox e carregamento por múltiplos estágios dificulta reconstruir o comportamento completo a partir de um único artefato. O estágio final pode depender de C2 ativo, e amostras coletadas depois do encerramento da infraestrutura podem não revelar toda a lógica em execução. Isso exige correlação entre endpoint, rede, sandbox, EDR e memória, especialmente quando a amostra isolada não chega ao módulo final.
- Estáções Windows com navegadores, perfis locais, bancos de credenciais e extensões de carteira instaladas.
- Usuários com acesso a serviços corporativos via navegador, especialmente quando há sessões persistentes ou senhas salvas.
- Ambientes onde execução de scripts, criação de processos suspensos e acesso incomum a arquivos de perfil não são monitorados.
- Organizações atingidas por campanhas oportunistas, incluindo casos citados em governo e infraestrutura de energia.
A detecção deve começar pela cadeia de processos e por desvios de comportamento em binários legítimos. A criação de AppLaunch.exe em modo suspenso, seguida por alterações de memória e execução de código que não corresponde às seções originais, é um sinal de alto valor. Como o malware tenta desfazer hooks em ntdll.dll, eventos de EDR relacionados a unhooking, leitura de cópias limpas de DLLs do sistema, alterações de permissões de memória e transições suspeitas para páginas executáveis devem ser priorizados. A observação de várias verificações de ambiente virtual também pode aparecer como consultas a artefatos de virtualização, depuração ou propriedades de hardware.
No endpoint, a defesa deve procurar acesso concentrado a arquivos de perfil de navegadores e carteiras, especialmente quando um processo incomum lê bases de dados, arquivos JSON e diretórios de extensões em curto intervalo. Arquivos como login data são relevantes porque indicam coleta de credenciais armazenadas. Também é útil monitorar abertura de bancos SQLite por processos sem relação com navegador, leitura de múltiplos perfis de usuário, varredura por nomes de carteiras e consultas de busca do Windows que selecionam arquivos para captura. A telemetria deve considerar que o malware pode processar dados em memória antes de consolidar a saída.
Na camada de rede, a ausência de um domínio C2 explícito impede uma regra baseada em indicador único. O foco deve ser comportamento: resolução de endereço ofuscado pelo próprio binário, conexão posterior ao estágio final, tráfego iniciado por processo injetado e download de payload após sequência de evasão. Como campanhas podem variar por operador, nomes de arquivo, infraestrutura e iscas não devem ser tratados como invariáveis. A campanha citada com anúncios para software de edição de vídeo mostra que temas de entrega podem mudar sem alterar a lógica interna do stealer.
- Criação anômala de
AppLaunch.exeseguida por injeção, alteração de seções ou execução em memória. - Tentativas de unhooking em
ntdll.dlle chamadas associadas a proteção, alocação e mudança de permissão de memória. - Leitura em massa de bancos de navegador, arquivos JSON, diretórios de extensões e artefatos de carteiras de criptomoedas.
- Execução de PowerShell sem relação com administração legítima, especialmente como filho de processo injetado ou recém-carregado.
- Conexões de saída iniciadas após estágios de loader, com resolução de C2 ofuscado e download do módulo final.
A mitigação deve priorizar contenção do endpoint e invalidação de segredos. Ao confirmar infecção por Rhadamanthys, isole a estáção, preserve artefatos de memória e telemetria de processos, identifique contas usadas no navegador e force rotação de senhas, cookies, tokens e chaves acessíveis localmente. Para carteiras de criptomoedas, a resposta precisa considerar que seed phrases, extensões e arquivos locais podem ter sido lidos; a ação defensiva deve seguir procedimentos internos de custódia e transferência segura, sem reutilizar material exposto no host comprometido. A limpeza do binário sem rotação de credenciais não é suficiente.
Controles preventivos devem reduzir o valor disponível no endpoint. Desabilitar salvamento de senhas em navegadores corporativos, aplicar gerenciadores com políticas de acesso, limitar extensões permitidas, segmentar perfis de navegação e reforçar autenticação multifator diminuem o impacto do roubo local. Em ambientes com acesso a nuvem, repositórios e painéis administrativos, sessões persistentes devem ser limitadas por política de risco, dispositivo confiável e verificação contextual. A execução de scripts deve ser registrada e controlada, com atenção especial a PowerShell iniciado por processos sem função administrativa.
Na engenharia de detecção, é recomendável criar casos de uso que combinem sinais fracos em vez de depender de um hash específico. A junção de processo suspenso, injeção, evasão de ambiente, leitura de bancos de navegador, parsing de arquivos de carteira e comunicação de saída oferece melhor cobertura contra variações de build. Para equipes de análise, amostras que não alcançam C2 ativo ainda podem fornecer valor por strings, tabelas de função resolvida, caminhos de arquivos e comportamento de loader. Quando possível, a análise de memória deve ser correlacionada com versões de DLLs do ambiente de sandbox para reconstruir chamadas de API e entender o fluxo real.
A resposta pós-incidente deve validar se houve apenas coleta local ou se o operador usou capacidades interativas. Isso exige revisar linha do tempo de processos, conexões, criação de arquivos, execução de scripts e qualquer consulta de busca utilizada pelo módulo de captura. Se houver indício de comando remoto ou PowerShell preparado, amplie a investigação para contas acessadas, serviços autenticados e outros hosts tocados pela mesma identidade. Sem esse sinal, mantenha o impacto confirmado no roubo de informações do endpoint e trate cenários adicionais como risco condicionado, não como fato.
- Isolar o endpoint infectado e preservar memória, árvore de processos, conexões e artefatos de carregamento.
- Rotacionar senhas, tokens, cookies, chaves e credenciais que possam ter sido armazenados ou usados no navegador.
- Revisar extensões de navegador e carteiras instaladas, removendo itens não autorizados e segregando perfis corporativos.
- Criar detecções para injeção em
AppLaunch.exe, unhooking emntdll.dll, acesso a bases de navegador e execução suspeita de PowerShell. - Validar em logs de identidade e nuvem se credenciais potencialmente coletadas foram reutilizadas após o horário da infecção.
0 Comentários