Rhadamanthys Stealer

Ähvardav tarkvara, mida tuntakse nime all Rhadamanthys, kasutab Google'i reklaame ära, et meelitada ohvreid teadmatult oma arvuteid nakatama. Theas Rhadamanthys Stealer on võimeline koguma tundlikku teavet, sealhulgas paroole, e-posti aadresse ja krüptovaluuta rahakoti mandaate. Infovarastajad on muutunud küberkurjategijate seas üha populaarsemaks, kuna neid saab kasutada mitmes erinevas ründeoperatsioonis. Rhadamanthyst pakutakse müügiks teistele küberkurjategijatele või häkkerirühmitustele MaaS-i (Malware-as-a-Service) skeemi kaudu.

Rhadamanthys Stealeri ähvardavad võimalused

Kui Rhadamanthys on ohvri seadmes käivitatud, alustab see oma tööd, kogudes arvukalt süsteemi üksikasju – seadme nimi, mudel, operatsioonisüsteem, OS-i arhitektuur, riistvara üksikasjad, installitud tarkvara, IP-aadressid ja kasutaja mandaadid. Oht on võimeline täitma ka konkreetseid PowerShelli käske. Ründajad võivad kasutada ka Rhadamanthysi potentsiaalselt tundlikku teavet sisaldavate sihitud dokumendifailide hankimiseks. Rhadamanthys Stealer on võimeline eraldama ka krüptoraha rahakottide paroole. Kui rahakoti mandaat õnnestub ohustada, võivad ohus osalejad sealt leitud raha oma krüptorahakottidesse suunata. Lühidalt öeldes võivad Rhadamanthys Stealeri nakkuse tagajärjed olla laastavad, ulatudes tõsistest privaatsusprobleemidest kuni rahaliste kaotuste ja isegi identiteedivarguseni.

Rhadamanthys Stealer kasutab Google'i reklaame seaduslike toodete jaoks

On kinnitatud, et oht levib ähvardavate veebisaitide kaudu, mis jäljendavad populaarsete tarkvararakenduste ametlikke lehti - AnyDesk, Zoom, OBS, Notepad++ ja teised. Ebaturvalisi lehti reklaamitakse veelgi seotud toote reklaamide kaudu, mis võivad Google'i tulemustes ilmuda isegi kõrgemal kui seaduslike rakenduste reklaamid ja lingid.

Küberturvalisuse teadlastel õnnestus Google'i edastatud tulemuste kõrval jälgida mitmeid Rhadamanthys Stealeriga seotud veebisaitide reklaame, enne kui populaarse voogedastusteenuse OBS (Open Broadcasting Service) tulemus ilmus. Spekuleeritakse, et küberkurjategijad võisid reklaamlõigud endale soetada. Et pettus võimalikult kaua üleval hoida, tarnivad rikutud veebisaidid reklaamitavat toodet koos Rhadamanthyse ohuga.

Ebaturvaliste või kahjulike kopeerimiste vältimiseks on kasutajatel tungivalt soovitatav kontrollida nende avatavate saitide URL-e. Oluline on meeles pidada, et küberkurjategijad kasutavad sageli ametlike nimedega väga sarnaseid nimesid, mille ainsaks erinevuseks on väike kirjaviga. See konkreetne tehnika on tuntud kui typosquatting. Samuti võib olla kasulik juhtida tähelepanu sellele, et Rhadamanthysi levitamise levimus ja rikutud reklaamid sõltuvad ohvri geograafilisest asukohast.