Rhadamanthys Stealer

Заплашителен софтуер, известен като Rhadamanthys, се възползва от рекламите на Google, за да подмами жертвите да заразят компютрите им несъзнателно. Theas Rhadamanthys Stealer е в състояние да събира чувствителна информация, включително пароли, имейл адреси и идентификационни данни за портфейл за криптовалута. Крадците на информация стават все по-популярни сред киберпрестъпниците поради способността им да бъдат използвани в няколко различни операции за атака. Rhadamanthys се предлага за продажба на други киберпрестъпници или хакерски групи чрез схема MaaS (Malware-as-a-Service).

Заплашителни способности на крадецът Радамантис

След като Rhadamanthys бъде изпълнен на устройството на жертвата, той ще започне своята работа, като събере множество системни данни - име на устройството, модел, операционна система, OS архитектура, подробности за хардуера, инсталиран софтуер, IP адреси и потребителски идентификационни данни. Заплахата също е способна да изпълнява специфични команди на PowerShell. Нападателите също биха могли да използват Rhadamanthys, за да получат целеви файлове с документи, съдържащи потенциално чувствителна информация. Rhadamanthys Stealer също може да извлича пароли за портфейли с криптовалута. Ако идентификационните данни на портфейла са успешно компрометирани, участниците в заплахата могат да източат всички средства, намерени в тях, към собствените си крипто-портфейли. Накратко, последствията от инфекция с Rhadamanthys Stealer могат да бъдат опустошителни, вариращи от сериозни проблеми с поверителността до финансови загуби и дори кражба на самоличност.

Крадецът на Rhadamanthys използва рекламите на Google за легитимни продукти

Потвърдено е, че заплахата се разпространява чрез заплашителни уебсайтове, които имитират официалните страници на популярни софтуерни приложения - AnyDesk, Zoom, OBS, Notepad++ и други. Опасните страници се популяризират допълнително чрез реклами за свързания продукт, които може да се показват дори по-високо в резултатите на Google от рекламите и връзките на законните приложения.

Изследователите на киберсигурността успяха да наблюдават няколко реклами за уебсайтове, свързани с Rhadamanthys Stealer, върху резултатите от Google, преди да се появи резултатът за популярната услуга за стрийминг OBS (Open Broadcasting Service). Спекулира се, че киберпрестъпниците може да са закупили рекламните места. За да поддържат хитростта възможно най-дълго, повредените уебсайтове доставят рекламирания продукт заедно със заплахата Rhadamanthys.

Силно се препоръчва потребителите внимателно да проверяват URL адреса на сайтовете, които отварят, за да избегнат опасни или вредни имитатори. Важно е да запомните, че киберпрестъпниците често използват имена, които са изключително подобни на официалните, като единствената разлика е лека правописна грешка. Тази конкретна техника е известна като typosquatting. Също така може да е полезно да се посочи, че разпространението и повредените реклами, разпространяващи Rhadamanthys, варират в зависимост от геолокацията на жертвата.