A Rhadamantys szellemi tulajdonjogokkal kapcsolatos csalikat használ
2024 júliusa óta a Check Point Research (CPR) egy kiterjedt és folyamatos adathalászkampányt követ, amely a Rhadamanthys stealer telepítéséhez vezet. Ebben a kampány különböző vállalatoknak adják ki magukat, és azt állítják a kiberszereplők, hogy az áldozatok a Facebook-oldalukon szerzői jogsértést követtek el. Az adathalász e-mailek, amelyeket jellemzően Gmail-fiókokból küldenek, arra kérik a címzetteket, hogy töltsenek le egy archív fájlt, amely DLL side-loading-on keresztül indítja el a fertőzést. A bináris ezután telepíti a Rhadamanthys stealer legújabb verzióját (0.7-es verzió), amely új képességeket tartalmaz, például egy állítólagos AI-alapú OCR (optikai karakterfelismerő) modult. Ezek az e-mailek, amelyek látszólag a megszemélyesített vállalatok jogi képviselőitől származnak, azzal vádolják a címzettet, hogy visszaéltek a márkájukkal a célpont közösségi médiaoldalán, és bizonyos képek és videók eltávolítását kérik. Az eltávolítási utasítások állítólag egy jelszóval védett fájlban vannak. A csatolt fájl azonban egy letöltési link az appspot[.]com-ra, amely egy Gmail-fiókhoz kapcsolódik, és amely a felhasználót a Dropbox vagy a Discord oldalra irányítja át egy jelszóval védett archívum letöltésére (a jelszó az e-mailben szerepel).
A CPR 2024. november 6-i jelentésében megosztják a Rhadamanthys stealer-rel kapcsolatos folyamatban lévő tevékenységeket, amelyeket mind a kiberbűnözők, mind az államilag támogatott szereplők átvettek. A jelentés részletezi az adathalászkampányt, a támadók által alkalmazott taktikákat és a Rhadamanthys legújabb verziójában bevezetett frissítéseket.
