Pesquisadores da Check Point identificaram uma nova versão do Rhadamanthys Stealer, um malware que vem ganhando destaque por sua capacidade de evoluir rapidamente e escapar de sistemas de defesa. A ameaça agora utiliza técnicas de inteligência artificial e esteganografia, método que esconde códigos maliciosos dentro de arquivos de imagem para evitar a detecção por antivírus.
O Rhadamanthys é distribuído como um serviço criminoso, no modelo conhecido como Malware-as-a-Service (MaaS). Ele é oferecido em fóruns clandestinos por valores que variam de US$ 299 a US$ 499, com planos mensais e até suporte técnico, uma prática que demonstra o nível de profissionalização do cibercrime. Segundo os pesquisadores, a nova versão (0.9.2) apresenta avanços significativos em técnicas de evasão e fingerprinting. O malware analisa o ambiente da máquina infectada, verificando se está sendo executado em uma sandbox ou sob monitoramento.
Somente após confirmar que está em um sistema real ele se conecta ao servidor de comando e controle (C2) e ativa suas rotinas de espionagem. O código principal do Rhadamanthys é baixado de forma camuflada dentro de imagens PNG, JPEG ou WAV, onde os dados maliciosos são ocultados por meio de algoritmos de esteganografia. Essa técnica permite que o arquivo aparente ser legítimo, dificultando sua identificação por antivírus baseados em assinatura. Uma vez ativo, o malware é capaz de roubar credenciais, cookies de sessão, carteiras de criptomoedas, histórico de navegação e tokens de autenticação. Também coleta dados detalhados do sistema, como informações de hardware e impressões digitais do dispositivo, que podem ser usados para ataques personalizados ou vendidos em fóruns de cibercrime.
