Забирайся поудобнее, мы расскажем, как один из любимых «мастеров карманной воровки» постепенно вытаскивает свой джеп из грязи форумного маркетплейса и пытается стать SaaS-ом для преступного мира. Rhadamanthys — это не просто очередной стилер, это пример того, как малварь эволюционирует в продукт с поддержкой клиентов, тарифами и «бизнес‑процессами». Версия 0.9.2 — очередной апгрейд, где разработчик явно задумался о профессионализме: device fingerprinting, PNG‑стеганография и встроенный Lua‑раннер для плагинов. Звучит почти как «крутой тулкит для айтишников», только с криминальной подпиской.
Rhadamanthys начинался на форумах: пост, пара скриншотов, обещание «украду всё, что не прибито». Но дальше автор kingcrete2022 перешёл в режим маркетолога — ребрендинг в RHAD security / Mythical Origin Labs, трёхуровневые подписки, опции self‑hosted и enterprise — словом, полный набор для клиентов с кредитными картами (ну или с crypto‑кошельками). Цена вопроса — от пары сотен баксов в месяц до «поговори с менеджером» для крупных клиентов. Кто бы сомневался: злые дяди тоже любят подписочные модели и SLA.
Что нового в 0.9.2 и почему это неприятно: — Device & browser fingerprinting. Раньше стилеры собирали пароли и куки; теперь они собирают отпечаток машины — конфигурации, плагины браузера, расширения, HWID и прочие «фингерпринты». Это позволяет оператору выбирать выгодные мишени и избегать песочниц и исследовательских сред. — PNG‑стеганография для доставки полезной нагрузки. Payload прячут в медиафайлах — WAV, JPG, PNG. Файл выглядит как нормальная картинка, но внутри — контейнер с зашифрованным модулем. Расшифровать пакет можно только имея общий секрет, который оговаривается при первом рукопожатии с C2. Классика — «ни одной подозрительной exe‑шки на первый взгляд». — Lua‑раннер и расширяемость. Внутри стелера есть маленькая VM для Lua‑плагинов — это значит, что функциональность может расширяться плагинами без перекомпиляции основного бина. Хочешь OCR‑модуль? Подключили Lua‑плагин. Нужен модуль для банковских сайтов? Есть. Это ускоряет вывод новых фич и уменьшает зависимость от основной сборки. — Анти‑анализ и проверка окружения. Модуль «Strategy» не даёт запускаться в песочнице: проверяет процессы, текущее имя пользователя, обои рабочего стола и HWID. Если что-то похоже на исследовательскую машину — payload не стартует. Классический чек‑лист для «не попадать под лупу». — Обфускация и XS‑формат. Исполняемые модули и конфиги шифруются/обфусцируются по‑новому — чтобы сигнатуры меньше цеплялись. Мелкие, но неприятные доработки для аналитиков.
Чем это плохо (коротко и по делу) Rhadamanthys уже давно перестал быть «для братков‑скрипткидзи». Это коммерческий продукт с поддержкой и апдейтами, который делает ставку на надёжность и скрытность. PNG‑стеганография и Lua‑плаги — не просто модные слова: они дают операторам гибкость и делают обнаружение сложнее. Fingerprinting позволяет выбирать «мясные» цели и минимизировать шум — то есть меньше слива в телеметрии и больше полезных данных у клиента. Это значит, что кампании станут аккуратнее, долгоживущие и эффективнее.
Бизнесовая сторона (да, у них тоже есть маркетинг) Rhadamanthys продаётся как продукт: три тарифа, self‑hosted опция, «приоритетная поддержка» и API доступа к серверам управления. Это не просто малварь — это экосистема: продавцы, биллинг, техподдержка. Развивает свою брендовую видимость на форумах, публикует скриншоты и «кейсы» — всё как у стартапа, только с отрицательным знаком перед KPI.
Как защититься (без инструкций‑по‑взлому) Мы не будем тут расписывать детальные рецепты — лишь общие, но рабочие принципы, которые реально помогают: держать антивирусные движки и EDR в актуале, следить за необычной сетевой активностью и за скачиванием медиафайлов из непроверенных источников, использовать многофакторную аутентификацию там, где можно, сегментировать сеть и ограничивать привилегии сервисных аккаунтов, а также мониторить необычные запросы к браузерам и системные изменения, связанные с автозапуском. Обратите внимание на неожиданные процессы, подгруженные модулем, и на то, что payload может приходить не как exe, а как «невинная картинка» — поэтому фильтрация по типу файла и анализ метаданных медиафайлов в почте/файловых шлюзах имеет смысл. И да — резервные копии и план реагирования ещё никто не отменял.
Заключение Rhadamanthys 0.9.2 — это уже не игрушка из подвала, а профессиональный конструктор для воров данных. Он стал хитрее, гибче и опаснее: fingerprinting уменьшает мусор, PNG‑стеганография делает доставку невидимой, а Lua‑раннер даёт фичи по подписке. Для защитников это сигнал: атаки становятся более прицельными и коммерческими, и бороться с ними нужно на уровне процессов, а не только сигнатур. Для тех, кто любит драму — смотрим дальше: когда продукт выходит на уровень «поддержки клиентов» и API, это означает одно — у него есть деньги, а там и инфраструктура, и талантливые люди. Неприятно, но честно.
