Il Rhadamanthys Stealer, un malware avanzato per il furto di informazioni, ha recentemente implementato nuove funzionalità grazie all'utilizzo dell'intelligenza artificiale (AI). Tra queste, spicca il riconoscimento ottico dei caratteri (OCR) per identificare e estrarre le seed phrase dei portafogli di criptovalute dalle immagini. Questo rende Rhadamanthys un pericolo significativo per chiunque operi nel settore delle criptovalute, poiché permette agli attaccanti di rubare informazioni critiche con maggiore facilità.
Scoperto per la prima volta nel settembre 2022, Rhadamanthys si è affermato come uno dei più potenti stealer di informazioni, offerto come servizio (MaaS) insieme a malware come Lumma. Nonostante i ban da forum underground come Exploit e XSS per aver preso di mira entità in Russia e nell'ex Unione Sovietica, il suo sviluppatore, noto come "kingcrete", continua a promuovere le nuove versioni su piattaforme come Telegram, Jabber e TOX.
Rhadamanthys viene venduto su base di abbonamento a $250 al mese o $550 per 90 giorni, permettendo ai cybercriminali di raccogliere una vasta gamma di informazioni sensibili dagli host compromessi. Queste includono informazioni di sistema, credenziali, portafogli di criptovalute, password dei browser, cookie e dati memorizzati in varie applicazioni. Inoltre, il malware implementa misure per complicare l'analisi nei sandbox.
La versione 0.7.0, rilasciata a giugno 2024, rappresenta un significativo miglioramento rispetto alla versione 0.6.0 di febbraio 2024. Include una riscrittura completa sia dei framework lato client che server, migliorando la stabilità dell'esecuzione. Sono stati aggiunti 30 algoritmi per il cracking dei portafogli, grafica potenziata da AI e riconoscimento PDF per l'estrazione delle frasi. La capacità di estrazione del testo è stata migliorata per identificare più frasi salvate.
Inoltre, è stata introdotta una funzione per eseguire e installare file Microsoft Software Installer (MSI) per evadere le soluzioni di sicurezza presenti sull'host. È anche presente una configurazione per prevenire la riesecuzione entro un intervallo di tempo definibile. Un aspetto notevole di Rhadamanthys è il suo sistema di plugin che ne ampliano le capacità con funzionalità di keylogger, clipper di criptovalute e proxy inverso.
Mentre Google Mandiant ha dettagliato l'uso del flusso di controllo indiretto personalizzato da parte di Lumma Stealer per manipolare l'esecuzione del malware, Rhadamanthys continua a evolversi rapidamente. Anche malware come Meduza, StealC, Vidar e WhiteSnake stanno rilasciando aggiornamenti per raccogliere cookie dai browser Chrome, bypassando nuove misure di sicurezza.
Inoltre, i ricercatori hanno identificato campagne di malware come Amadey che utilizzano script AutoIt per lanciare il browser della vittima in modalità chiosco, forzandoli a inserire le credenziali dell'account Google. Queste informazioni vengono poi raccolte da stealer come StealC.
Altre campagne di download drive-by ingannano gli utenti facendoli eseguire manualmente codice PowerShell per dimostrare di essere umani tramite una pagina CAPTCHA ingannevole. Questo attacco consegna stealer come Lumma, StealC e Vidar, rappresentando un rischio significativo poiché aggira i controlli di sicurezza del browser.
In sintesi, il panorama dei malware è in continua evoluzione con minacce come Rhadamanthys che implementano tecnologie sempre più sofisticate per compromettere le informazioni sensibili degli utenti.