Rhadamanthys Stealer Evolui: Adiciona Fingerprinting de Dispositivo e Payloads de Esteganografia PNG

03 de outubro de 2025 - O malware Rhadamanthys, um dos stealers de informação mais populares disponíveis no modelo malware-as-a-service, evoluiu significativamente em sua versão 0.9.2.

Principais Atualizações

Novas Capacidades:

• Coleta de fingerprinting de dispositivo e navegador
• Técnicas de esteganografia para ocultar payloads em arquivos WAV, JPEG e PNG
• Mecanismos aprimorados de anti-detecção e anti-sandbox

Evolução do Negócio:

• Os desenvolvedores se rebrandaram como "RHAD security" e "Mythical Origin Labs"
• Oferecem três planos de assinatura (US$299 a US$ 499 mensais)
• Tratam o malware como um empreendimento comercial de longo prazo

Técnicas de Evasão

O malware executa verificações sofisticadas para evitar análise:

• Verifica processos em execução contra lista de sandboxes proibidas
• Confirma username e HWID do dispositivo
• Compara papel de parede atual com padrões de sandbox conhecidos
• Exibe alerta para usuário final, similar ao Lumma Stealer

Método de Entrega

O payload principal é entregue através de:

• Comunicação inicial com servidor C2
• Extração e descriptografia de payload oculto em imagens PNG (requer segredo compartilhado)
• Execução do módulo stealer com runner Lua integrado

Conclusão

Segundo a Check Point, o Rhadamanthys representa uma evolução constante com foco em refinamentos técnicos e profissionalização, indicando que permanecerá como uma ameaça significativa no ecossistema de cibersegurança.