Rhadamanthys Stealer, un malware focalizzato sul furto di informazioni, ha subito un'evoluzione notevole con il rilascio di due versioni principali che presentano miglioramenti sostanziali.
Inizialmente emerso nell'agosto del 2022, questo ladro di informazioni in linguaggio C++ si è concentrato nel rubare credenziali di account email, FTP e servizi bancari online.
Questo malware viene distribuito ai criminali informatici tramite un modello di abbonamento e raggiunge i bersagli attraverso diversi canali come la pubblicità malevola, download di torrent infetti, email e video su YouTube.
Nonostante inizialmente non abbia attirato particolare attenzione nel competitivo mercato dei ladri di informazioni, Rhadamanthys ha continuato a migliorare, sfruttando la sua struttura modulare per aggiungere funzionalità in base alle necessità.
Gli esperti di Check Point hanno analizzato le versioni più recenti di Rhadamanthys, evidenziando significativi miglioramenti nelle capacità di furto e di spionaggio.
La versione 0.5.0 ha introdotto un nuovo sistema di plugin che permette una maggiore personalizzazione, consentendo ai criminali di caricare solo le funzionalità necessarie per ogni specifico obiettivo.
Questa nuova architettura modulare rende il malware più flessibile, consentendo ai cyber-criminali di distribuire plugin su misura per i loro bersagli, aggirando misure di sicurezza o sfruttando vulnerabilità specifiche.
Tra le nuove funzionalità, il plugin "Data Spy" può monitorare l'accesso RDP e catturare le credenziali della vittima. La versione 0.5.0 ha anche portato miglioramenti nella costruzione del client, correzioni per il furto di portafogli di criptovalute e per l'acquisizione di token di Discord.
Ulteriori aggiornamenti riguardano la rubrica dati dai browser, le impostazioni di ricerca sul pannello utente e le notifiche di Telegram.
L'analisi ha rivelato che il malware ha implementato controlli anti-analisi, una configurazione integrata e moduli per la fase successiva (XS1), che includono nuovi moduli focalizzati sull'elusione.
Questi includono stealers passivi e attivi che mirano a raccogliere dati senza invasività o con tecniche invasive come il keylogging e la cattura dello schermo.
La versione 0.5.1 di Rhadamanthys introduce, infine, nuovi elementi, come il plugin "Clipper" per modificare i dati negli appunti, notifiche di Telegram per estrarre informazioni sensibili e la capacità di eludere Windows Defender. Questi aggiornamenti indicano uno sviluppo attivo del malware, rendendolo più sofisticato e invitante per i criminali informatici.