Аналитический центр AhnLab Security Intelligence Center (ASEC) обнаружил распространение вредоносного программного обеспечения (ПО) под видом инсталлятора для группового ПО. Злоумышленник создал поддельный сайт, который отображался пользователям через рекламную функцию поисковых систем. Вредоносное ПО использует технику непрямых вызовов системы, чтобы избежать обнаружения. Затем оно переходит по адресу системного вызова в области памяти ntdll.dll для выполнения своих действий. Rhadamanthys инжектируется в системные процессы Windows, такие как dialer.exe, openwith.exe, dllhost.exe и rundll32.exe, а также программы в пути "C:\Program Files\Windows Media Player\".
В конечном итоге Rhadamanthys выполняет функцию похитителя информации.
Indicators of Compromise
IPv4 Port Combinations
- 147.124.220.237:8123
MD5
- 9437c89a5f9a51a4ff6d6076083fa6c9