Rhadamanthys Stealer

Rhadamanthys-niminen uhkaava ohjelmisto käyttää hyväkseen Googlen mainoksia huijatakseen uhreja tietämättään saastuttamaan tietokoneitaan. Theas Rhadamanthys Stealer pystyy keräämään arkaluontoisia tietoja, kuten salasanoja, sähköpostiosoitteita ja kryptovaluuttalompakkotunnisteita. Tietovarastajista on tullut yhä suositumpia kyberrikollisten keskuudessa, koska niitä voidaan käyttää useissa erilaisissa hyökkäysoperaatioissa. Rhadamanthys tarjotaan myytäväksi muille verkkorikollisille tai hakkeriryhmille MaaS (Malware-as-a-Service) -järjestelmän kautta.

Rhadamanthys Stealerin uhkaavat ominaisuudet

Kun Rhadamanthys on suoritettu uhrin laitteessa, se aloittaa toimintansa keräämällä lukuisia järjestelmätietoja - laitteen nimi, malli, käyttöjärjestelmä, käyttöjärjestelmäarkkitehtuuri, laitteistotiedot, asennettu ohjelmisto, IP-osoitteet ja käyttäjätiedot. Uhka pystyy myös suorittamaan tiettyjä PowerShell-komentoja. Hyökkääjät saattoivat myös käyttää Rhadamanthysia saadakseen kohdistettuja asiakirjatiedostoja, jotka sisältävät mahdollisesti arkaluontoisia tietoja. Rhadamanthys Stealer pystyy myös poimimaan salasanoja kryptovaluuttalompakoihin. Jos lompakon tunnistetiedot vaarantuvat onnistuneesti, uhkatoimijat voivat siirtää niistä löydetyt varat omiin kryptolompakoihinsa. Lyhyesti sanottuna Rhadamanthys Stealer -tartunnan seuraukset voivat olla tuhoisia, ja ne vaihtelevat vakavista yksityisyysongelmista taloudellisiin menetyksiin ja jopa identiteettivarkauksiin.

Rhadamanthys Stealer hyödyntää Googlen mainoksia laillisiin tuotteisiin

Uhka on vahvistettu levinneen uhkaavien verkkosivustojen kautta, jotka jäljittelevät suosittujen ohjelmistosovellusten virallisia sivuja - AnyDesk, Zoom, OBS, Notepad++ ja muut. Vaarallisia sivuja mainostetaan edelleen niihin liittyvien tuotteiden mainoksilla, jotka voivat näkyä Googlen tuloksissa jopa korkeammalla kuin laillisten sovellusten mainokset ja linkit.

Kyberturvallisuustutkijat onnistuivat havaitsemaan useita mainoksia Rhadamanthys Stealeriin liittyvistä verkkosivustoista toimitettujen Google-tulosten lisäksi ennen kuin suositun suoratoistopalvelun OBS (Open Broadcasting Service) tulos ilmestyi. On arveltu, että kyberrikolliset ovat saaneet ostaa mainospaikat. Jotta huijaus pysyisi yllä mahdollisimman pitkään, vioittuneet verkkosivustot toimittavat mainostetun tuotteen Rhadamanthys-uhan ohella.

On erittäin suositeltavaa, että käyttäjät tarkistavat huolellisesti avaamiensa sivustojen URL-osoitteet vaarallisten tai haitallisten kopioiden välttämiseksi. On tärkeää muistaa, että kyberrikolliset käyttävät usein nimiä, jotka ovat erittäin samankaltaisia kuin viralliset nimet, ainoana erona on pieni kirjoitusvirhe. Tämä tietty tekniikka tunnetaan nimellä typosquatting. Saattaa myös olla hyödyllistä huomauttaa, että Rhadamanthysia levittävien mainosten esiintyvyys ja korruptoituneet mainokset vaihtelevat uhrin maantieteellisen sijainnin mukaan.