Rhadamanthys Stealer

Prijeteći softver poznat kao Rhadamanthys iskorištava Googleove oglase kako bi prevario žrtve da nesvjesno zaraze njihova računala. Theas Rhadamanthys Stealer sposoban je prikupljati osjetljive podatke, uključujući lozinke, adrese e-pošte i vjerodajnice novčanika kriptovalute. Kradljivci informacija postali su sve popularniji među kibernetičkim kriminalcima zbog svoje mogućnosti korištenja u nekoliko različitih operacija napada. Rhadamanthys se nudi na prodaju drugim kibernetičkim kriminalcima ili hakerskim grupama kroz MaaS (Malware-as-a-Service) shemu.

Prijeteće mogućnosti kradljivca Rhadamanthysa

Nakon što se Rhadamanthys pokrene na žrtvinom uređaju, započet će s radom prikupljanjem brojnih pojedinosti o sustavu - naziv uređaja, model, operativni sustav, OS arhitektura, pojedinosti o hardveru, instalirani softver, IP adrese i korisničke vjerodajnice. Prijetnja također može izvršiti određene PowerShell naredbe. Napadači također mogu upotrijebiti Rhadamanthys za dobivanje ciljanih datoteka dokumenata koji sadrže potencijalno osjetljive informacije. Rhadamanthys Stealer također može izvući lozinke za novčanike kriptovaluta. Ako su vjerodajnice novčanika uspješno kompromitirane, akteri prijetnje mogli bi izvući sva sredstva koja su u njima pronađena u svoje vlastite kripto-novčanike. Ukratko, posljedice infekcije s Rhadamanthys Stealer mogu biti razorne, od ozbiljnih problema s privatnošću do financijskih gubitaka, pa čak i krađe identiteta.

Rhadamanthys Stealer iskorištava Googleove oglase za legitimne proizvode

Potvrđeno je da se prijetnja širi putem prijetećih web stranica koje oponašaju službene stranice popularnih softverskih aplikacija - AnyDesk, Zoom, OBS, Notepad++ i drugih. Nesigurne stranice dodatno se promoviraju putem oglasa za povezani proizvod koji se mogu pojaviti čak i više u Google rezultatima od oglasa i poveznica legitimnih aplikacija.

Istraživači kibernetičke sigurnosti uspjeli su uočiti nekoliko oglasa za web stranice povezane s Rhadamanthys Stealer na vrhu dostavljenih Google rezultata prije nego što se pojavio rezultat za popularnu uslugu streaminga OBS (Open Broadcasting Service). Nagađa se da su kibernetički kriminalci možda kupili reklamna mjesta. Kako bi se prijevara održala što je dulje moguće, oštećene web stranice isporučuju reklamirani proizvod uz Rhadamanthys prijetnju.

Toplo se preporučuje da korisnici pažljivo provjeravaju URL web-mjesta koja otvaraju kako bi izbjegli nesigurne ili štetne kopije. Bitno je zapamtiti da kibernetički kriminalci često koriste imena koja su vrlo slična službenim imenima, a jedina je razlika mala pravopisna pogreška. Ova posebna tehnika poznata je kao typosquatting. Također bi moglo biti korisno istaknuti da prevalencija i pokvarene reklame koje šire Rhadamanthys variraju ovisno o geolokaciji žrtve.