I ricercatori di Check Point hanno scoperto due nuove versioni di Rhadamanthys Stealer con funzionalità più avanzate. Il malware, apparso per la prima volta ad agosto 2022, può rubare numerosi dati personali e delle app. Grazie agli aggiornamenti recenti può svolgere anche le attività di keylogging e spyware.
Rhadamanthys Stealer diventa più pericoloso
Rhadamanthys Stealer è scritto in linguaggio C++ e viene offerto in abbonamento. I cybercriminali utilizzano vari canali di distribuzione (malvertising, email, YouTube, torrent e altri). Il malware è modulare, quindi le funzionalità possono essere facilmente aggiunte o rimosse tramite plugin, in modo da creare una versione ottimizzata per specifiche attività.
Nella versione 0.5.0 è stato incluso il plugin Data Spy che permette di monitorare i tentativi di login con RDP (Remote Desktop Protocol) e di catturare le credenziali delle vittime. Il malware può accedere a 59 app, molte delle quali sono wallet di criptovalute.
Altre funzionalità avanzate sono il furto dei dati dal browser e le password da KeePass, la registrazione dei tasti premuti (keylogging), la cattura delle schermate e la modifica delle notifiche di Telegram. Il loader è stato riscritto per aggirare i controlli di sicurezza e i tool di analisi del codice.
Durante la ricerca di Check Point è stata rilasciata la versione 0.5.1 con altre novità, tra cui il plugin Clipper che sostituisce l’indirizzo del wallet negli appunti con quelli dei cybercriminali, la possibilità di recuperare i cookie eliminati dell’account Google e la capacità di aggirare Windows Defender, inclusa la protezione cloud.
Ti potrebbe interessare
21 dic 2023