Il malware Rhadamanthys è una minaccia conosciuta da tempo tra gli addetti ai lavori. Stiamo parlando di un infostealer con una struttura “multistrato”, probabilmente derivato da un altro malware del passato (ovvero Hidden Bee), che funziona attraverso diversi moduli combinati tra loro.
Si parla, infatti, di un sistema di plugin avanzato e personalizzabile, che rende il malware sfruttabile in diverse campagne e contesti a seconda delle necessità dei cybercriminali che lo utilizzano.
L’agente malevolo in questione viene venduto su forum clandestini e luoghi d’incontro per hacker e, per la sua natura di Malware-as-a-Service viene spesso aggiornato dai suoi creatori.
Proprio l’ultima versione di Rhadamanthys sta creando un po’ di apprensione tra gli esperti di sicurezza. Con la 0.5.0, infatti, il temibile malware ha aumentato le sue capacità di furto dei dati, introducendo anche altre funzionalità relative a possibili azioni di spionaggio.
Rhadamanthys versione 0.5.0: più aggressivo con i wallet crittografici e dotato di una nuova funzione keylogger
Quali sono le introduzioni con la versione 0.5.0 di Rhadamanthys? Vista la natura MaaS dell’infostealer, è lo stesso creatore a pubblicizzarne i miglioramenti.
Nel documento proposto ai potenziali clienti, rilasciato all’inizio di ottobre, l’hacker presenta diverse innovazioni come l’aggiunta di una modalità osservatore, probabilmente utile nel contesto delle spionaggio. A quanto pare, il processo di esecuzione del client è stato completamente riscritto, andando a correggere alcuni bug che causavano crash nella precedente versione.
Non solo: ora Rhadamanthys è molto più efficace quando deve attaccare wallet crittografici. Allo stato attuale il malware può interagire con diversi servizi di questo tipo tra cui figurano:
- UniSat Wallet
- Tronlink
- Trust
- Terra Station
- TokenPocket
- Phantom
- Metamask
- KardiaChain
- Exodus Desktop
- Exodus Web3
- Binance.
Altri miglioramenti riguardano l’acquisizione dei token Discord, una migliore interazione con i browser Web oltre all’introduzione di una funzione keylogger. Questa permette all’hacker di turno la registrazione delle sequenze di tasti digitate dalla vittima del malware.