Rhadamanthys Stealer
Un programari amenaçador conegut com a Rhadamanthys està aprofitant els anuncis de Google per enganyar les víctimes perquè infectin els seus ordinadors sense saber-ho. Theas Rhadamanthys Stealer és capaç de recollir informació sensible, incloses contrasenyes, adreces de correu electrònic i credencials de cartera de criptomoneda. Els robadors d'informació s'han tornat cada cop més populars entre els ciberdelinqüents a causa de la seva capacitat per ser utilitzats en diverses operacions d'atac diferents. Rhadamanthys s'ofereix a la venda a altres cibercriminals o grups de pirates informàtics mitjançant un esquema MaaS (Malware-as-a-Service).
Les capacitats amenaçadores del robador de Rhadamanthys
Una vegada que Rhadamanthys s'executi al dispositiu de la víctima, començarà el seu funcionament recopilant nombrosos detalls del sistema: nom del dispositiu, model, sistema operatiu, arquitectura del sistema operatiu, detalls del maquinari, programari instal·lat, adreces IP i credencials d'usuari. L'amenaça també és capaç d'executar ordres de PowerShell específiques. Els atacants també podrien utilitzar Rhadamanthys per obtenir fitxers de documents específics que contenien informació potencialment sensible. El Rhadamanthys Stealer també és capaç d'extreure contrasenyes per a carteres de criptomoneda. Si les credencials de la cartera es comprometen amb èxit, els actors de l'amenaça podrien desviar qualsevol fons que s'hi trobi a les seves pròpies carteres criptogràfiques. En resum, les conseqüències d'una infecció per Rhadamanthys Stealer podrien ser devastadores, que van des de greus problemes de privadesa fins a pèrdues financeres i fins i tot robatori d'identitat.
The Rhadamanthys Stealer explota els anuncis de Google per a productes legítims
S'ha confirmat que l'amenaça es propaga a través de llocs web amenaçadors que imiten les pàgines oficials d'aplicacions de programari populars: AnyDesk, Zoom, OBS, Notepad++ i altres. Les pàgines no segures es promocionen encara més mitjançant anuncis del producte associat que poden aparèixer encara més alts als resultats de Google que els anuncis i enllaços de les aplicacions legítimes.
Els investigadors de ciberseguretat van aconseguir observar diversos anuncis dels llocs web relacionats amb Rhadamanthys Stealer a més dels resultats de Google lliurats abans que aparegués el resultat del popular servei de transmissió en temps real OBS (Open Broadcasting Service). S'especula que els ciberdelinqüents poden haver comprat els espots publicitaris. Per mantenir l'enginy el màxim temps possible, els llocs web corruptes ofereixen el producte anunciat juntament amb l'amenaça de Rhadamanthys.
És molt recomanable que els usuaris comprovin acuradament l'URL dels llocs que obren per evitar imitacions insegures o perjudicials. És fonamental recordar que els ciberdelinqüents sovint fan servir noms molt semblants als oficials, amb l'única diferència que hi ha una petita falta d'ortografia. Aquesta tècnica en particular es coneix com a typosquatting. També pot ser útil assenyalar que la prevalença i els anuncis corruptes que difonen Rhadamanthys varien en funció de la geolocalització de la víctima.
