Análise do loader do Rhadamanthys revela técnicas avançadas de anti‑sandbox | Cyber ataques

Análise técnica do loader do stealer Rhadamanthys revela anti‑sandbox comportamental (monitoramento do cursor e janelas por 45s), flattening do fluxo de controle, codificação "Flutter" e criptografia SM4; sandboxes avançadas como CAPE e VMRay podem acionar o payload quando corretamente configuradas.

Pesquisadores publicaram uma análise do loader do stealer Rhadamanthys que destaca múltiplas camadas de evasão — incluindo verificação comportamental do usuário, ofuscação de fluxo de controle e criptografia do payload.

Descoberta e escopo

Relatórios técnicos referenciam trabalho do Cyber.wtf que decompôs o componente loader associado ao stealer Rhadamanthys. O loader não é o stealer em si, mas o mecanismo inicial que prepara e entrega o payload de roubo de credenciais e dados. As técnicas observadas mantêm o malware útil desde sua aparição em 2022, com uso em ataques direcionados a empresas e indivíduos.

Abordagem técnica

O loader emprega várias técnicas destinadas a impedir análise automatizada e manual:

Ofuscação customizada do código e flattening do fluxo de controle (control flow flattening) e obfuscação de alvos de salto (jump target obfuscation), dificultando a reconstrução do fluxo lógico.
Um sistema anti‑sandbox baseado em comportamento do usuário: o loader monitora posição do cursor, janelas em primeiro plano e timestamps durante pelo menos 45 segundos — coletando dados a cada 30 ms por 1.500 iterações — e exige que o cursor tenha trocado de posição ao menos 30 vezes e que haja pelo menos duas janelas distintas em primeiro plano, sendo pelo menos uma diferente do processo da área de trabalho.
Se as condições não são atendidas, o loader entra em novo ciclo de monitoramento com checagens mais avançadas, incluindo cálculo de distâncias euclidianas entre posições do cursor para detectar movimentos não humanos.
O payload é codificado por um algoritmo chamado “Flutter” (conversão binário→texto aparente aleatório) e protegido adicionalmente por criptografia SM4, adicionando barreira contra scanners de segurança.

Vetor e execução

O loader cria uma janela invisível e usa uma arquitetura orientada a mensagens com callbacks de timer para enfileirar e executar funções, dispersando o fluxo de execução e complicando a rastreabilidade sem uma deobfuscação profunda. Ferramentas de sandbox modernas (por exemplo, CAPE, VMRay) foram citadas como adaptadas a esses comportamentos e capazes de acionar a execução do payload quando configuradas adequadamente.

Impacto e alcance

Rhadamanthys é classificado como um stealer capaz de exfiltrar credenciais, dados financeiros e outros artefatos sensíveis. O fortalecimento do loader aumenta a taxa de sucesso em ambientes onde scanners estáticos e sandboxes simples são a primeira linha de defesa. A combinação de ofuscação, análise comportamental e múltiplas camadas de cifragem torna a detecção e resposta mais custosa para equipes de SOC.

Limites das informações

As análises descrevem técnicas e amostras observadas, mas não fornecem métricas quantificadas de número de vítimas, campanhas ativas específicas ou CVEs associados. Também não há atribuição de atores por parte das fontes consultadas.

Recomendações práticas

Aprimorar sandboxes para simular interação humana (movimento de mouse, troca de janelas) e prolongar monitoring windows quando apropriado.
Implementar detecção baseada em comportamento no endpoint e inspecionar processos que criam janelas invisíveis ou estabelecem timers intensivos.
Monitorar fluxos de saída cifrados anômalos e usar honeypots para detecção de stealers em estágios iniciais.

Fonte: Cyber.wtf