Netcrook Logo
👤 AGONY
🗓️ 05 Oct 2025   🌍 Europe

L’IA va fuori controllo: Rhadamanthys Stealer sblocca wallet crypto dalle immagini

Un malware all’avanguardia sfrutta l’intelligenza artificiale per depredare chiavi di criptovalute nascoste nelle immagini, alzando la posta in gioco per la sicurezza digitale a livello globale.

In breve

  • Rhadamanthys Stealer è un malware avanzato che prende di mira dati personali e aziendali, in particolare i wallet di criptovalute.
  • La sua versione più recente utilizza il riconoscimento delle immagini basato su IA per estrarre le seed phrase dei wallet crypto da foto e screenshot.
  • Commercializzato nei forum underground, costa 250 dollari per 30 giorni, rendendolo accessibile a molti cybercriminali.
  • Il malware impiega tattiche anti-analisi per eludere il rilevamento e ora può installare software tramite file Microsoft Installer.
  • Nonostante i divieti, il suo sviluppatore continua ad aggiornare e vendere Rhadamanthys tramite canali privati come Telegram e TOX.

Il malware che vede ciò che vedi tu

Immagina un ladro che non entra in casa tua, ma invece sfoglia silenziosamente i tuoi album fotografici, cercando la combinazione della tua cassaforte. Questa è la realtà inquietante dietro l’ultima trovata di Rhadamanthys Stealer: usare l’intelligenza artificiale per individuare e rubare le “seed phrase” delle criptovalute nascoste nelle immagini salvate sul tuo dispositivo.

Apparso per la prima volta nel 2022, Rhadamanthys si è rapidamente evoluto in uno degli strumenti di furto di informazioni più sofisticati del mondo cybercriminale. La sua missione principale: raccogliere tutto ciò che ha valore, dalle password salvate e dettagli di sistema ai cookie del browser e, sempre più spesso, le chiavi della tua fortuna digitale.

L’IA incontra il cybercrimine: una nuova frontiera

L’ultima versione (0.7.0) di Rhadamanthys, analizzata dal team Insikt Group della società di intelligence sulle minacce Recorded Future, ha superato una soglia allarmante. Grazie al riconoscimento ottico dei caratteri (OCR) - una tecnologia solitamente presente nelle app di produttività - il malware può scansionare le immagini alla ricerca delle tipiche “seed phrase” da 12 o 24 parole che sbloccano i wallet crypto. Il processo si divide in due fasi: il dispositivo infetto individua e carica le immagini sospette, poi una potente IA sul server dell’attaccante estrae le chiavi con una precisione sorprendente.

Non si tratta solo di un aggiornamento tecnico; è un salto nell’innovazione criminale. Man mano che sempre più persone si affidano a screenshot o foto per conservare le proprie credenziali crypto, Rhadamanthys trasforma qualsiasi dispositivo in una miniera d’oro per gli hacker. È un chiaro promemoria che anche le immagini apparentemente innocue possono diventare un rischio per la sicurezza.

Furtività, diffusione e il fattore umano

Rhadamanthys non è solo codice ingegnoso. È progettato per eludere le misure di sicurezza, utilizzando scudi anti-analisi e sfruttando file Microsoft Installer (MSI) - normalmente associati a software sicuri - per infiltrarsi nei sistemi. Il suo sviluppatore, noto come “kingcrete2022”, ha mantenuto il malware attivo e in evoluzione, anche dopo essere stato bannato da diversi importanti forum cybercriminali per aver preso di mira utenti russi ed ex-sovietici.

La popolarità del malware è alimentata dalla sua accessibilità e dall’innovazione costante. Il prezzo e le funzionalità lo rendono un favorito tra i cybercriminali, mentre gli aggiornamenti rapidi tengono sempre in allerta i difensori. La minaccia è aggravata da abitudini rischiose comuni: riutilizzo delle password, mescolanza tra dispositivi personali e di lavoro, e conservazione disattenta di informazioni sensibili in immagini o documenti.

Gli esperti di Recorded Future sottolineano la necessità di politiche di password robuste, formazione continua del personale e controlli di accesso rigorosi. Raccomandano anche contromisure tecniche, come l’impostazione di specifici valori “mutex” per bloccare l’esecuzione del malware - l’equivalente digitale di chiudere tutte le finestre prima di una tempesta.

Man mano che l’intelligenza artificiale si trasforma in un’arma a doppio taglio, Rhadamanthys Stealer dimostra che le abitudini di sicurezza di ieri non bastano più contro le minacce informatiche di oggi. Il confine tra comodità e vulnerabilità non è mai stato così sottile: in un mondo dove persino i tuoi screenshot possono tradirti, la vigilanza è l’unico rifugio sicuro.

WIKICROOK

  • Seed Phrase: Una seed phrase è un insieme di parole che funge da chiave principale per un wallet crypto. Chiunque la possieda può accedere e controllare i tuoi fondi.
  • Optical Character Recognition (OCR): Il riconoscimento ottico dei caratteri (OCR) converte testo stampato o scritto a mano da immagini in dati digitali modificabili e ricercabili.
  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
  • Microsoft Installer (MSI): Un file Microsoft Installer (MSI) è un pacchetto Windows usato per installare software, ma gli aggressori possono sfruttarlo per diffondere programmi malevoli camuffati.
  • Mutex: Un mutex è un blocco digitale che impedisce l’esecuzione simultanea di più copie di un programma, spesso usato sia dai malware che dai difensori per il rilevamento.
AGONY AGONY
Elite Offensive Security Commander
← Back to news