Rhadamanthys Stealer se espalha por e-mails de spam e anúncios do Google

O Rhadamanthys Stealer é uma ameaça cibernética emergente que está sendo distribuída ativamente por meio de campanhas de spam e anúncios maliciosos no Google. Este malware de roubo de informações visa coletar dados sensíveis dos usuários, incluindo credenciais de login, cookies de sessão, carteiras de criptomoedas e outras informações confidenciais. Neste artigo, detalhamos as táticas de distribuição, as capacidades do malware e as melhores práticas para evitar a infecção.

O que é o Rhadamanthys Stealer?

Identificado pela primeira vez no início de 2023, o Rhadamanthys Stealer é um malware especializado em roubo de informações que rapidamente ganhou popularidade em fóruns clandestinos. Ele é comercializado no modelo Malware-as-a-Service (MaaS), permitindo que cibercriminosos com pouca experiência técnica adquiram e executem campanhas de roubo de dados mediante pagamento de uma taxa. O malware recebe atualizações constantes para incluir novas funcionalidades e burlar as defesas de segurança.

Entre suas principais capacidades estão a extração de senhas armazenadas em navegadores (Chrome, Firefox, Edge, Opera), captura de cookies de sessão para sequestro de contas ativas, roubo de extensões e softwares de carteiras de criptomoedas (como MetaMask, Ledger Live, Electrum), coleta de arquivos específicos (como documentos .txt, .pdf, .xls) e funcionalidade de keylogging para registrar teclas digitadas. Além disso, o Rhadamanthys possui um módulo de execução remota, permitindo que o atacante execute comandos arbitrários no sistema infectado.

Origens e modelo de negócio

O Rhadamanthys Stealer foi detectado pela primeira vez em campanhas direcionadas a usuários de língua inglesa e rapidamente se espalhou para outras regiões, incluindo o Brasil. Sua venda em fóruns underground segue o modelo de assinatura, onde compradores pagam para acessar um painel de controle (C2) e personalizar as configurações do malware. Este modelo de negócio reduziu a barreira de entrada para o cibercrime, resultando em um aumento significativo de ataques utilizando esta ferramenta.

Como ocorre a infecção?

O Rhadamanthys é distribuído principalmente por dois vetores: campanhas de spam e malvertising (anúncios maliciosos).

Campanhas de e-mail de spam

Os criminosos enviam mensagens em massa com assuntos atrativos, como "Fatura em atraso", "Confirmação de entrega" ou "Alerta de segurança da sua conta". Estas mensagens contêm anexos maliciosos, como documentos do Office com macros VBA, arquivos compactados (.zip, .rar) contendo executáveis ou links que redirecionam para sites de download do malware. A engenharia social é empregada para convencer a vítima a habilitar macros ou extrair e executar o arquivo.

Anúncios maliciosos no Google (Malvertising)

No malvertising, os atacantes criam anúncios no Google Ads que imitam produtos legítimos ou serviços populares, como utilitários de sistema, programas de edição de imagem ou jogos. Quando o usuário clica no anúncio, é redirecionado por uma cadeia de URLs que passa por serviços de rastreamento e, eventualmente, chega a uma página de destino que realiza o download automático do malware (drive-by download) ou solicita que o usuário baixe um arquivo com aparência legítima. Este vetor é particularmente perigoso porque os anúncios são indexados junto a resultados de pesquisa legítimos, aumentando o alcance da ameaça.

Principais características e funcionalidades

  • Roubo de credenciais: Extrai senhas e logins armazenados em navegadores, clientes de e-mail como Outlook e Thunderbird, e outros aplicativos que armazenam credenciais.
  • Captura de cookies: Permite o sequestro de sessões ativas em sites como bancos, redes sociais e serviços de e-mail, sem necessidade de senha.
  • Roubo de carteiras de criptomoedas: Alvo de extensões de navegador e softwares de carteiras descentralizadas, como MetaMask, Trust Wallet, Binance Chain Wallet, entre outras.
  • Coleta de arquivos: Exfiltra documentos com extensões específicas (.pdf, .doc, .xls, .txt, .jpg) de pastas pré-definidas, como Área de Trabalho, Documentos e Downloads.
  • Keylogging: Registra todas as teclas digitadas, capturando senhas digitadas mesmo em páginas seguras e mensagens instantâneas.
  • Execução remota: Recebe comandos do servidor C2 para baixar e executar arquivos adicionais, atualizar configurações ou realizar ações como capturar tela e webcam.
  • Ofuscação e evasão: Utiliza técnicas como empacotamento de código, injeção em processos legítimos (como explorer.exe ou svchost.exe), desativação de softwares de segurança e sistemas de sandbox para evitar detecção e análise.

Impacto e riscos

Uma infecção bem-sucedida pelo Rhadamanthys pode resultar em consequências graves. Para usuários domésticos, pode significar o esvaziamento de contas bancárias, roubo de identidade, perda de acesso a contas de e-mail e redes sociais, e chantagem a partir de dados pessoais obtidos. Para empresas, o impacto é potencialmente maior: vazamento de dados corporativos, perda de propriedade intelectual, danos à reputação, custos de remediação e possíveis multas regulatórias relacionadas à proteção de dados (como a LGPD no Brasil).

Além disso, o Rhadamanthys pode atuar como ponto de partida para ataques mais graves, como a instalação de ransomware ou backdoors para acesso persistente à rede corporativa.

Como se proteger contra o Rhadamanthys Stealer

A prevenção é a melhor defesa. Abaixo, listamos medidas práticas para reduzir o risco de infecção:

  • Desconfie de e-mails inesperados, especialmente aqueles que criam senso de urgência ou solicitam ação imediata. Não abra anexos nem clique em links sem verificar a procedência.
  • Verifique a autenticidade de anúncios online. Prefira acessar sites oficiais digitando o endereço diretamente no navegador em vez de clicar em anúncios.
  • Utilize um bloqueador de anúncios (ad blocker) confiável, que pode reduzir a exposição a malvertising.
  • Mantenha o sistema operacional, navegadores e todos os softwares atualizados com as últimas correções de segurança.
  • Ative a autenticação multifator (MFA/2FA) em todas as contas que oferecerem suporte. Isso dificulta o sequestro mesmo que senhas sejam roubadas.
  • Utilize uma solução de segurança abrangente com proteção em tempo real, anti-malware e anti-phishing.
  • Para empresas: implante treinamento regular de conscientização em segurança para funcionários, utilize filtros de e-mail avançados para bloquear anexos suspeitos, adote soluções de detecção e resposta em endpoints (EDR) e restrinja a execução de macros em documentos.
  • Realize backups frequentes dos dados importantes, armazenando-os em locais seguros e offline.

Perguntas Frequentes (FAQ)

O Rhadamanthys Stealer é detectado por antivírus comuns?

Sim, a maioria dos principais antivírus já inclui assinaturas e heurísticas para detectar o Rhadamanthys. No entanto, como o malware é frequentemente atualizado, novas variantes podem escapar temporariamente da detecção. Manter o software de segurança sempre atualizado é crucial.

O malware afeta dispositivos móveis ou sistemas Mac/Linux?

Até o momento, o Rhadamanthys é desenvolvido exclusivamente para sistemas Windows (versões 7, 10 e 11). No entanto, a propagação via e-mail e anúncios pode potencialmente levar a outros tipos de ameaças em dispositivos móveis, portanto mantenha a segurança em todos os seus dispositivos.

Como posso verificar se meu computador está infectado?

Sinais de infecção podem incluir lentidão incomum, aumento no uso de rede, pop-ups suspeitos, desativação do antivírus ou programas desconhecidos sendo executados em segundo plano. Execute uma varredura completa com um antivírus atualizado ou utilize ferramentas de remoção específicas de malware. Se suspeitar, desconecte-se da internet imediatamente e procure ajuda de um profissional de segurança.

O que fazer se minhas credenciais foram roubadas?

Altere imediatamente as senhas de todas as contas comprometidas a partir de um dispositivo limpo. Ative 2FA se ainda não o fez. Monitore extratos bancários e faturas de cartão de crédito. Considere notificar as instituições financeiras relevantes e, em caso de dados corporativos, siga o plano de resposta a incidentes da sua empresa.

Como o Rhadamanthys se diferencia de outros stealers (como RedLine, Vidar)?

Embora compartilhe muitas funcionalidades comuns, o Rhadamanthys se destaca por sua agressividade nas técnicas de evasão, suporte a plugins para personalização de alvos e um painel de controle intuitivo. Ele também tem atualizações frequentes, o que demonstra desenvolvimento ativo.

Conclusão

O Rhadamanthys Stealer representa uma ameaça real e crescente no cenário de cibersegurança. Sua distribuição por vetores confiáveis como e-mail e anúncios do Google exige que usuários e organizações adotem uma postura de segurança proativa. Compreender como o malware opera e implementar as práticas de proteção descritas neste artigo são passos fundamentais para evitar danos financeiros e de privacidade. Mantenha-se informado e proteja seus dados.