Rhadamanthys Stealer

Hrozivý software známý jako Rhadamanthys využívá reklamy Google k oklamání obětí, aby nevědomky infikovaly jejich počítače. Theas Rhadamanthys Stealer je schopen shromažďovat citlivé informace, včetně hesel, e-mailových adres a přihlašovacích údajů k peněžence kryptoměn. Zloději informací se mezi kyberzločinci stávají stále oblíbenějšími díky jejich schopnosti být použity v několika různých útočných operacích. Rhadamanthys je nabízen k prodeji dalším kyberzločincům nebo skupinám hackerů prostřednictvím schématu MaaS (Malware-as-a-Service).

Hrozivé schopnosti zloděje Rhadamanthys

Jakmile je Rhadamanthys spuštěn na zařízení oběti, zahájí svou činnost shromážděním mnoha podrobností o systému – název zařízení, model, operační systém, architektura operačního systému, podrobnosti o hardwaru, nainstalovaný software, IP adresy a přihlašovací údaje uživatele. Hrozba je také schopna provádět specifické příkazy PowerShellu. Útočníci by také mohli využít Rhadamanthys k získání cílených souborů dokumentů obsahujících potenciálně citlivé informace. Rhadamanthys Stealer je také schopen extrahovat hesla pro kryptoměnové peněženky. Pokud jsou přihlašovací údaje k peněžence úspěšně kompromitovány, aktéři hrozby by mohli vysát veškeré finanční prostředky, které v nich najdou, do svých vlastních kryptopeněženek. Stručně řečeno, následky infekce Rhadamanthys Stealer by mohly být zničující, od vážných problémů se soukromím až po finanční ztráty a dokonce i krádeže identity.

The Rhadamanthys Stealer využívá reklamy Google na legitimní produkty

Bylo potvrzeno, že se hrozba šíří prostřednictvím ohrožujících webů, které napodobují oficiální stránky populárních softwarových aplikací – AnyDesk, Zoom, OBS, Notepad++ a další. Nebezpečné stránky jsou dále propagovány prostřednictvím reklam na související produkt, které se mohou ve výsledcích Google objevit ještě výše než reklamy a odkazy legitimních aplikací.

Výzkumníkům v oblasti kybernetické bezpečnosti se podařilo pozorovat několik reklam na webové stránky související s Rhadamanthys Stealer nad dodanými výsledky Google, než se objevil výsledek pro populární streamovací službu OBS (Open Broadcasting Service). Spekuluje se, že si reklamní spoty mohli zakoupit kyberzločinci. Aby se lest udržela co nejdéle, poškozené webové stránky dodávají inzerovaný produkt spolu s hrozbou Rhadamanthys.

Důrazně se doporučuje, aby uživatelé pečlivě zkontrolovali adresy URL stránek, které otevírají, aby se vyhnuli nebezpečným nebo škodlivým napodobování. Je nezbytné si uvědomit, že kyberzločinci často používají jména, která jsou velmi podobná těm oficiálním, jediným rozdílem je drobná pravopisná chyba. Tato konkrétní technika je známá jako typosquatting. Může být také užitečné poukázat na to, že prevalence a poškozené reklamy šířící Rhadamanthys se liší v závislosti na geolokaci oběti.