Uma nova campanha de phishing, chamada “CopyRh(ight)adamantys,” está explorando temas de violação de direitos autorais para enganar vítimas a baixarem uma versão atualizada do malware Rhadamanthys, um ladrão de informações. De acordo com a empresa Check Point, que monitora o ataque desde julho de 2024, essa campanha tem como alvo regiões como Estados Unidos, Europa, Ásia Oriental e América do Sul.

Os atacantes têm se passado por dezenas de empresas, enviando e-mails personalizados de diferentes contas do Gmail, adaptando o nome da empresa e o idioma para o alvo específico. A maioria das empresas imitadas pertence aos setores de entretenimento, mídia, tecnologia e software.

Um aspecto notável da campanha é o uso da versão 0.7 do Rhadamanthys stealer, que inclui inteligência artificial (IA) para reconhecimento óptico de caracteres (OCR), recurso que melhora sua capacidade de roubo de informações. A Check Point revelou que a campanha também se sobrepõe a ataques recentes relatados pela Cisco Talos, que apontaram o uso do malware Rhadamanthys para atingir contas empresariais e de anúncios no Facebook em Taiwan.

Os ataques empregam táticas de spear-phishing, com e-mails que alegam violações de direitos autorais em plataformas de redes sociais. Os remetentes se identificam como representantes legais de empresas conhecidas e acusam os destinatários de uso indevido de marcas, solicitando que imagens e vídeos sejam removidos. Para acessar as supostas instruções de remoção, os destinatários são orientados a baixar um arquivo protegido por senha, que na verdade é um link para appspot.com que redireciona o usuário ao Dropbox ou Discord para baixar um arquivo malicioso.