Recentemente, una campagna di phishing ha preso di mira utenti di tutto il mondo sfruttando temi legati alla violazione del copyright per ingannare le vittime nel download di una versione aggiornata del malware Rhadamanthys. Questa operazione, tracciata dall'azienda di sicurezza informatica Check Point sotto il nome di CopyRh(ight)adamantys, ha colpito regioni come Stati Uniti, Europa, Asia orientale e Sud America. La campagna si distingue per l'uso di email che simulano comunicazioni ufficiali da parte di diverse aziende, principalmente nel settore dell'intrattenimento e della tecnologia, al fine di ingannare i destinatari.

Rhadamanthys Malware

Il malware Rhadamanthys, nella sua versione 0.7, utilizza l'intelligenza artificiale per il riconoscimento ottico dei caratteri, migliorando così la sua capacità di attaccare. Le email di phishing imitano comunicazioni legali da parte di aziende note, accusando il destinatario di violazioni del marchio su piattaforme social. Il messaggio invita a scaricare un file protetto da password che, in realtà, contiene un link per scaricare un archivio malevolo da Dropbox o Discord. L'archivio include un eseguibile legittimo vulnerabile, un DLL malevolo e un documento esca. Una volta eseguito, il binario carica il DLL che permette il dispiegamento di Rhadamanthys.

SteelFox: La nuova minaccia

Parallelamente, un'altra minaccia è emersa con il malware SteelFox, un bundle di software malevolo distribuito attraverso post su forum, tracker di torrent e blog, presentandosi come utilità legittime come Foxit PDF Editor e AutoCAD. Questa campagna, iniziata nel febbraio 2023, ha colpito utenti in diversi paesi, tra cui Brasile, Cina, Russia e Messico. SteelFox sfrutta un driver vulnerabile per ottenere privilegi elevati sul sistema infetto, utilizzando il malware per estrarre dati sensibili come informazioni di carte di credito e dettagli sul dispositivo.

Il punto di partenza di SteelFox è un'app dropper che si spaccia per versioni crackate di software popolari. Una volta eseguita, l'app richiede accesso come amministratore per installare un loader che stabilisce la persistenza e lancia il DLL di SteelFox. Questo accesso viene sfruttato per eseguire un driver vulnerabile, parte di una libreria di accesso hardware di Windows, permettendo al malware di ottenere privilegi di sistema e avviare un miner di criptovalute. Attraverso una comunicazione sicura con un server remoto, il malware esfiltra dati sensibili dai browser web delle vittime.

Queste campagne dimostrano come i cybercriminali continuino a evolversi, sfruttando tecniche sofisticate e strumenti avanzati per migliorare i tassi di successo dei loro attacchi, mantenendo una portata globale.