Rhadamanthys Stealer
Um software ameaçador conhecido como Rhadamanthys está aproveitando os anúncios do Google para induzir as vítimas a infectar seus computadores sem saber. Theas Rhadamanthys Stealer é capaz de coletar informações confidenciais, incluindo senhas, endereços de e-mail e credenciais de carteira de criptomoeda. Os ladrões de informações tornaram-se cada vez mais populares entre os cibercriminosos devido à sua capacidade de serem usados em várias operações de ataque diferentes. O Rhadamanthys é oferecido para venda a outros cibercriminosos ou grupos de hackers por meio de um esquema MaaS (Malware-as-a-Service).
As capacidades ameaçadoras do ladrão Rhadamanthys
Depois que o Rhadamanthys é executado no dispositivo da vítima, ele inicia sua operação reunindo vários detalhes do sistema - nome do dispositivo, modelo, sistema operacional, arquitetura do sistema operacional, detalhes do hardware, software instalado, endereços IP e credenciais do usuário. A ameaça também é capaz de executar comandos específicos do PowerShell. Os invasores também podem utilizar o Rhadamanthys para obter arquivos de documentos direcionados contendo informações potencialmente confidenciais. O Rhadamanthys Stealer também é capaz de extrair senhas para carteiras de criptomoedas. Se as credenciais da carteira forem comprometidas com sucesso, os agentes de ameaças podem desviar quaisquer fundos encontrados nelas para suas próprias carteiras criptográficas. Resumindo, as consequências de uma infecção por Rhadamanthys Stealer podem ser devastadoras, variando de sérios problemas de privacidade a perdas financeiras e até mesmo roubo de identidade.
O ladrão Rhadamanthys explora anúncios do Google para produtos legítimos
Foi confirmado que a ameaça se espalha por meio de sites ameaçadores que imitam as páginas oficiais de aplicativos de software populares - AnyDesk, Zoom, OBS, Notepad++ e outros. As páginas não seguras são promovidas por meio de anúncios do produto associado que podem aparecer ainda mais nos resultados do Google do que os anúncios e links dos aplicativos legítimos.
Os pesquisadores de segurança cibernética conseguiram observar vários anúncios para os sites relacionados ao Rhadamanthys Stealer, além dos resultados do Google entregues, antes que o resultado do popular serviço de streaming OBS (Open Broadcasting Service) aparecesse. Especula-se que os cibercriminosos possam ter comprado os spots publicitários. Para manter o estratagema pelo maior tempo possível, sites corrompidos entregam o produto anunciado junto com a ameaça Rhadamanthys.
É altamente recomendável que os usuários verifiquem cuidadosamente a URL dos sites que abrem para evitar imitações inseguras ou prejudiciais. É fundamental lembrar que os cibercriminosos costumam usar nomes extremamente parecidos com os oficiais, com a única diferença sendo um pequeno erro de ortografia. Essa técnica específica é conhecida como typosquatting. Também pode ser útil apontar que a prevalência e os anúncios corrompidos que espalham Rhadamanthys variam de acordo com a geolocalização da vítima.
