Rhadamanthys Stealer

Ένα απειλητικό λογισμικό γνωστό ως Rhadamanthys εκμεταλλεύεται τις διαφημίσεις της Google για να ξεγελάσει τα θύματα ώστε να μολύνουν εν αγνοία τους τους υπολογιστές τους. Ο Theas Rhadamanthys Stealer είναι σε θέση να συλλέγει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων κωδικών πρόσβασης, διευθύνσεων email και διαπιστευτηρίων πορτοφολιού κρυπτονομισμάτων. Οι κλέφτες πληροφοριών έχουν γίνει ολοένα και πιο δημοφιλείς μεταξύ των εγκληματιών του κυβερνοχώρου λόγω της ικανότητάς τους να χρησιμοποιούνται σε πολλές διαφορετικές επιθέσεις. Το Rhadamanthys προσφέρεται προς πώληση σε άλλους κυβερνοεγκληματίες ή ομάδες χάκερ μέσω ενός συστήματος MaaS (Κακόβουλο λογισμικό ως υπηρεσία).

Οι Απειλητικές Ικανότητες του Κλέφτη Ραδάμανθυ

Μόλις εκτελεστεί το Rhadamanthys στη συσκευή του θύματος, θα ξεκινήσει τη λειτουργία του συλλέγοντας πολλές λεπτομέρειες συστήματος - όνομα συσκευής, μοντέλο, λειτουργικό σύστημα, αρχιτεκτονική λειτουργικού συστήματος, λεπτομέρειες υλικού, εγκατεστημένο λογισμικό, διευθύνσεις IP και διαπιστευτήρια χρήστη. Η απειλή είναι επίσης ικανή να εκτελεί συγκεκριμένες εντολές PowerShell. Οι εισβολείς θα μπορούσαν επίσης να χρησιμοποιήσουν το Rhadamanthys για να αποκτήσουν στοχευμένα αρχεία εγγράφων που περιέχουν δυνητικά ευαίσθητες πληροφορίες. Το Rhadamanthys Stealer είναι επίσης ικανό να εξάγει κωδικούς πρόσβασης για πορτοφόλια κρυπτονομισμάτων. Εάν τα διαπιστευτήρια του πορτοφολιού παραβιαστούν επιτυχώς, οι φορείς της απειλής θα μπορούσαν να μεταφέρουν τυχόν κεφάλαια που βρέθηκαν σε αυτά στα δικά τους κρυπτο-πορτοφόλια. Εν ολίγοις, οι συνέπειες μιας μόλυνσης από το Rhadamanthys Stealer θα μπορούσαν να είναι καταστροφικές, που κυμαίνονται από σοβαρά ζητήματα απορρήτου έως οικονομικές απώλειες και ακόμη και κλοπή ταυτότητας.

Ο κλέφτης Rhadamanthys εκμεταλλεύεται τις διαφημίσεις της Google για νόμιμα προϊόντα

Η απειλή έχει επιβεβαιωθεί ότι διαδίδεται μέσω απειλητικών ιστότοπων που μιμούνται τις επίσημες σελίδες δημοφιλών εφαρμογών λογισμικού - AnyDesk, Zoom, OBS, Notepad++ και άλλες. Οι μη ασφαλείς σελίδες προωθούνται περαιτέρω μέσω διαφημίσεων για το σχετικό προϊόν που μπορεί να εμφανίζονται ακόμη υψηλότερα στα αποτελέσματα της Google από τις διαφημίσεις και τους συνδέσμους των νόμιμων εφαρμογών.

Οι ερευνητές της κυβερνοασφάλειας κατάφεραν να παρατηρήσουν αρκετές διαφημίσεις για τους ιστότοπους που σχετίζονται με το Rhadamanthys Stealer πάνω από τα αποτελέσματα της Google που παραδόθηκαν πριν εμφανιστεί το αποτέλεσμα για τη δημοφιλή υπηρεσία ροής OBS (Open Broadcasting Service). Εικάζεται ότι οι κυβερνοεγκληματίες μπορεί να έχουν αγοράσει τα διαφημιστικά σποτ. Για να διατηρηθεί το τέχνασμα για όσο το δυνατόν περισσότερο, οι κατεστραμμένοι ιστότοποι παραδίδουν το διαφημιζόμενο προϊόν παράλληλα με την απειλή Rhadamanthys.

Συνιστάται ανεπιφύλακτα στους χρήστες να ελέγχουν προσεκτικά τη διεύθυνση URL των τοποθεσιών που ανοίγουν για να αποφύγουν μη ασφαλή ή επιβλαβή αντιγραφή. Είναι σημαντικό να θυμόμαστε ότι οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά ονόματα που είναι εξαιρετικά παρόμοια με τα επίσημα, με τη μόνη διαφορά να είναι ένα ελαφρύ ορθογραφικό λάθος. Η συγκεκριμένη τεχνική είναι γνωστή ως typosquatting. Μπορεί επίσης να είναι χρήσιμο να επισημανθεί ότι η επικράτηση και οι κατεστραμμένες διαφημίσεις που διαδίδουν το Rhadamanthys ποικίλλουν ανάλογα με τη γεωγραφική θέση του θύματος.