Inside CopyRh(ight)adamantys: come riconoscere una campagna di phishing evoluta

CopyRh(ight)adamantys è il nome dato a una vasta e sofisticata campagna di phishing scoperta a partire da luglio 2024. Questa campagna diffonde una nuova versione (0.7) del malware Rhadamanthys, un tipo di software dannoso progettato per rubare informazioni sensibili dai computer infetti.

Ecco i punti chiave su CopyRh(ight)adamantys:

• Obiettivo: la campagna mira a individui e organizzazioni in diversi settori, in particolare quelli legati all'intrattenimento, ai media e alla tecnologia.

  
  

• Tecnica di Inganno: utilizza un'esca basata sulla violazione del copyright. Le vittime ricevono email che impersonano aziende legittime, spesso con indirizzi Gmail creati ad hoc, accusandole di aver violato il copyright su piattaforme social.

  
  

• Personalizzazione: ogni email è personalizzata per il destinatario, adattando il nome dell'azienda impersonata e la lingua utilizzata per rendere l'inganno più efficace.

  
  

• Distribuzione del Malware: le email contengono un link per scaricare un archivio protetto da password. Questo archivio contiene tipicamente tre file:

  • Un eseguibile legittimo ma vulnerabile (sfruttato per il "DLL side-loading").

  • Una DLL (Dynamic Link Library) contenente il malware Rhadamanthys in forma compressa.

  • Un file esca (spesso un PDF o un documento simile) per distrarre la vittima.

    
    

• Funzionamento del Malware: una volta che l'eseguibile viene lanciato, carica la DLL dannosa, che a sua volta installa e avvia il malware Rhadamanthys. Questo malware è in grado di rubare una vasta gamma di dati, incluse credenziali di accesso, informazioni finanziarie e potenzialmente anche chiavi di portafogli di criptovalute.

  
  

• Utilizzo di AI: si sospetta che gli autori della campagna utilizzino strumenti di intelligenza artificiale per automatizzare la creazione delle email e degli account Gmail utilizzati per la diffusione. Una versione precedente di Rhadamanthys utilizzava anche un sistema OCR (riconoscimento ottico dei caratteri) basico.

  
  

• Motivazioni: l'analisi suggerisce che la campagna è probabilmente orchestrata da un gruppo di cybercriminali con motivazioni finanziarie, piuttosto che da attori statali.

  
  

In sintesi, CopyRh(ight)adamantys è una campagna di phishing su larga scala che sfrutta l'esca della violazione del copyright per diffondere il malware Rhadamanthys, con l'obiettivo di rubare informazioni sensibili alle vittime. La sua sofisticazione risiede nella personalizzazione delle email, nell'uso di archivi protetti e nella potenziale automazione tramite strumenti di AI.

✅ Ma quali sono gli IoC (Indicatori di compromissione) di un'e-mail ?

Gli Indicatori di Compromissione (IoC) sono fondamentali per rilevare e mitigare minacce come CopyRh(ight)adamantys,

Ecco una lista più ampia di IoC:

1. Link sospetto in una mail di contestazione – è insolito che un'azienda, soprattutto nel contesto legale o di copyright, ti chieda di scaricare qualcosa per visionare una violazione.

   
   

2. Password condivisa per aprire un archivio – pratica comune nei malware loader per aggirare il rilevamento antivirus (la password impedisce la scansione automatica).

   
   

3. Indirizzi email con dominio @gmail.com (o altri provider gratuiti) usati da mittenti che si spacciano per aziende – un red flag importante per l’analisi OSINT e il filtraggio dei messaggi sospetti.

   
   

4. Allegati ZIP protetti da password – formato e metodo molto usati per veicolare malware senza essere rilevati da gateway di sicurezza email.

   
   

5. Tecnica del DLL side-loading – la presenza combinata di:

   • un eseguibile legittimo ma vulnerabile,

   • una DLL "malicious" nominata in modo coerente con l'eseguibile,

   • un file esca “innocuo” (PDF, DOC, etc.) può costituire un IoC comportamentale su endpoint o sandbox.

     
     

6. Nomi di file ripetuti o simili nelle varie ondate della campagna – spesso le campagne riutilizzano nomi con pattern simili (es: notice_violation.pdf, details.zip, media_rights.exe).

   
   

7. Tratti di personalizzazione sospetti nelle email – ad esempio, un linguaggio eccessivamente formale o l'uso di nomi di aziende note con errori minimi (es: “Meta Platforms INC” al posto di “Meta Platforms, Inc.”).

   
   

8. Comportamento dell'eseguibile – se analizzato in sandbox, l’eseguibile legittimo carica una DLL da una directory insolita o con una firma digitale assente o non coerente.

   
   

9. Attività post-infezione – traffico verso C2 (Command & Control) server associati a varianti di Rhadamanthys, tipicamente su IP o domini registrati di recente e con DNS dinamico (

🧠 (Opzionale) IoC legati all’uso di AI

Anche se meno direttamente rilevabili, si possono cercare pattern "sospettosamente ben formattati" nei messaggi: ad esempio, email scritte in modo impeccabile ma senza stile umano riconoscibile – un possibile segno dell’uso di LLM (large language model).

Se vuoi, possiamo provare a costruire una lista tecnica di IoC in formato JSON o STIX per feed di threat intelligence. Ti interessa?

#malaware #sicurezza