Rhadamanthys-Stealer boostert Angriffsarsenal und Schlagkraft

Rhadamanthys wurde zunächst in Untergrundforen beworben, doch die Entwickler wollten schnell mehr: mehr Aufmerksamkeit, mehr Kunden und vor allem mehr Umsatz. Laut den Forschern von Check Point treten die Betreiber inzwischen unter den Marken „RHAD Security“ und „Mythical Origin Labs“ auf und bewerben ihre Schadsoftware als „intelligente Lösungen für Innovation und Effizienz“. Aleksandra Hasherezade Doniec erklärt: „Heute geht es den Entwicklern klar darum, Reichweite aufzubauen und neue Kunden zu gewinnen.“ Diese Entwicklung zeigt deutlich, dass Rhadamanthys kein Nebenprojekt mehr ist, sondern ein professionell betriebenes Geschäftsmodell im Bereich Malware-as-a-Service.

Produktangebot, Preisgestaltung und Marktposition

Rhadamanthys wird nach dem Geschäftsmodell „Malware-as-a-Service“ (MaaS) angeboten und zählt heute zu den führenden Stealern neben Lumma, Vidar, StealC und Acreed. Kunden können zwischen mehreren Abo-Stufen wählen:

• 299 US-Dollar pro Monat für eine selbst gehostete Version
• 499 US-Dollar pro Monat für erweiterte Funktionen, Prioritätssupport, Serverbereitstellung und Zugriff auf eine erweiterte Programmierschnittstelle
• Enterprise-Lizenzen auf Anfrage

Doniec betont: „Die Kombination aus Markenauftritt, Produktportfolio und Preisstruktur zeigt, dass die Entwickler Rhadamanthys als langfristiges Geschäftsmodell betrachten – nicht als Nebenprojekt.“ Für Verteidiger sei dies ein Warnsignal, „denn mit wachsender Kundenzahl und einem ausgebauten Ökosystem dürfte Rhadamanthys auf Dauer bestehen bleiben.“

Technische Neuerungen: Fingerprinting und Steganografie

Die aktuelle Version 0.9.2 bringt mehrere technologische Erweiterungen mit sich. Dazu zählen:

• Geräte- und Browser-Fingerprinting: Die Schadsoftware sammelt detaillierte Hardware- und Browserdaten, um Zielsysteme zu identifizieren und auf sie zugeschnittene Module nachzuladen.
• Steganografisch versteckte Nutzlasten: Die Malware versteckt ihre Hauptkomponenten in Bilddateien – meist PNG, aber auch WAV oder JPEG. Zur Entschlüsselung wird ein geheimer Schlüssel genutzt, der während der ersten Kommunikation mit dem Command-and-Control-Server vereinbart wird.
• Lua-Runner für Plugins: Eingebaute Lua-Unterstützung ermöglicht das Nachladen zusätzlicher Module, die Datendiebstahl und weitere Analysefunktionen übernehmen.
• Verbesserte Tarnung: Modulnamen und Konfigurationsdaten werden verschleiert, um die Erkennung durch Sicherheitslösungen zu erschweren.

Damit setzt Rhadamanthys weniger auf radikale Neuerungen als auf kontinuierliche Verfeinerung und eine höhere Anpassungsfähigkeit.

Sandbox-Erkennung und Anti-Analyse-Techniken

Ein internes Modul – in älteren Versionen „Strategy“ genannt – führt eine Reihe von Prüfungen durch, um festzustellen, ob die Malware in einer Analyseumgebung läuft. Dazu zählen:

• Überprüfung laufender Prozesse gegen eine Liste bekannter Sandbox-Tools
• Vergleich des Hintergrundbilds mit einem typischen Sandbox-Wallpaper
• Kontrolle des Benutzernamens und der Hardware-ID gegen bekannte Testumgebungen

Nur wenn alle Prüfungen bestanden werden, verbindet sich das Programm mit dem Command-and-Control-Server, um das Hauptmodul nachzuladen.

Wie bei der Konkurrenz-Malware Lumma blendet Rhadamanthys eine Warnmeldung ein, wenn die Datei in ungeschützter Form ausgeführt wird. Ziel ist, zu verhindern, dass Malware-Verteiler unbeabsichtigt infiziert werden oder unverschleierte Versionen kursieren. Check Point stellte dabei „oberflächliche Nachahmung“ fest, aber mit technisch völlig unterschiedlicher Umsetzung:

„Bei Lumma erfolgt das Lesen der Datei über Systemaufrufe, und die Meldung wird über NtRaiseHardError ausgeführt. In Rhadamanthys dagegen wird MessageBoxW verwendet. Beide Loader sind verschleiert, aber mit unterschiedlichen Mustern.“

Parallelen und Abgrenzung zu früheren Versionen

Bereits in Version 0.7.0 hatte Recorded Future im Oktober 2024 eine neue Funktion zur optischen Zeichenerkennung (OCR) beschrieben, die dazu diente, Seed-Phrasen von Kryptowährungs-Wallets aus Bildern zu extrahieren. Diese Kombination aus künstlicher Intelligenz und Datendiebstahl zeigte schon damals den Trend zur Automatisierung im Bereich der Informationsdiebe.

In der neuen Version bleibt das Grunddesign erhalten, doch die Ausrichtung ist klar: mehr Kontrolle, mehr Tarnung und mehr Modularität. Check Point fasst zusammen: „Die neueste Variante stellt eine Evolution, keine Revolution dar. Analysten sollten ihre Konfigurationsparser aktualisieren, PNG-basierte Nutzlasten überwachen, Änderungen bei Mutex- und Bot-ID-Formaten im Blick behalten und mit weiteren Anpassungen der Verschleierung rechnen.“

Fazit: Ein professionelles Geschäftsmodell für Datenklau

Rhadamanthys hat sich vom simplen Datendieb zu einer flexiblen, modularen Stealer-Plattform entwickelt, die gezielt auf Unternehmen und Privatnutzer abzielt. Durch die Kombination aus intelligenter Tarnung, steganografischer Verteilung und systematischer Kommerzialisierung bleibt diese Malware-Familie eine ernst zu nehmende Bedrohung.

Für Verteidiger gilt: Erkennungsmechanismen müssen laufend aktualisiert und besonders verdächtige Mediendateien stärker kontrolliert werden. Die Analyse von Check Point zeigt deutlich, dass Rhadamanthys gekommen ist, um zu bleiben – nicht nur als Schadsoftware, sondern als professionelles Geschäftsmodell im Untergrund.