Investigadores de seguridad han alertado de la existencia de un nuevo y sofisticado malware ladrón de información como servicio (MaaS) que ha sido denominado Rhadamanthys Stealer que se dirige al sector del petróleo y el gas.
Rhadamanthys Stealer es un infostealer en C++ que surgió en agosto de 2022 y está diseñado para apuntar a credenciales de cuentas de servicios de banca online, correo electrónico y FTP.
El malware ha evolucionado rápidamente y sus versiones más recientes añaden nuevas capacidades de robo y técnicas de evasión mejoradas.
Rhadamanthys es capaz de analizar archivos, redes, módulos y actividad de registro de malware con el entorno de malware ANY.RUN y llevar a cabo una búsqueda de inteligencia de amenazas, pudiendo interactuar con el sistema operativo directamente desde el navegador.
Por otro lado, el infostealer puede igualmente modificar los datos del portapapeles para desviar pagos en criptomonedas a los atacantes y recuperar las cookies eliminadas de la cuenta de Google.
Según recoge GBHackers, esta avanzada campaña de phising habría alcanzado con éxito los objetivos previstos dentro de la industria, lo que está generando gran preocupación sobre su impacto potencial en las infraestructuras críticas.
¿Casualidad?
Curiosamente, la implementación de Rhadamanthys Stealer se ha producido poco después de que las fuerzas del orden de distintos países asestaran un golpe casi mortal al grupo de ransomware LockBit, una de las operaciones de ransomware como servicio más activas (RaaS).
La aparición de Rhadamanthys fue advertida por varios proveedores especializados en inteligencia de amenazas y software antivirus a principios de 2023 y desde entonces ha ido ganando popularidad en la dark web. Actualmente, este malware ha resurgido en versión MaaS.
Esta amenaza se difunde a través de anuncios maliciosos de Google y apunta a AnyDesk, Zoom, Bluestacks, Notepad, OBS y otros. Además, también llega por email. Se envían correos que contienen un PDF adjunto en el que se puede hacer click y que está alojado en un dominio registrado recientemente. Al acceder a él comienza el proceso de infección de malware.