Rhadamanthys Stealer

A Rhadamanthys néven ismert fenyegető szoftver kihasználja a Google hirdetéseit, hogy rávegye az áldozatokat, hogy tudtukon kívül megfertőzzék számítógépüket. A Theas Rhadamanthys Stealer képes érzékeny információk gyűjtésére, beleértve a jelszavakat, e-mail címeket és a kriptovaluta pénztárca hitelesítő adatait. Az információlopók egyre népszerűbbek a kiberbűnözők körében, mivel számos különböző támadási műveletben felhasználhatók. A Rhadamanthyst a MaaS (Malware-as-a-Service) rendszeren keresztül kínálják eladásra más kiberbűnözőknek vagy hackercsoportoknak.

A Rhadamanthys-lopó fenyegető képességei

Miután a Rhadamanthys végrehajtásra kerül az áldozat eszközén, számos rendszerrészlet összegyűjtésével kezdi meg működését – eszköznév, modell, operációs rendszer, operációs rendszer architektúra, hardveradatok, telepített szoftver, IP-címek és felhasználói hitelesítő adatok. A fenyegetés bizonyos PowerShell-parancsok végrehajtására is képes. A támadók a Rhadamanthys segítségével is megszerezhetik a potenciálisan érzékeny információkat tartalmazó, célzott dokumentumfájlokat. A Rhadamanthys Stealer képes kriptovaluta pénztárcák jelszavainak kinyerésére is. Ha a pénztárca hitelesítő adatait sikeresen veszélyeztetik, a fenyegetés szereplői a bennük talált pénzeszközöket a saját kriptopénztárcájukba szippanthatják ki. Röviden, a Rhadamanthys Stealer fertőzés következményei pusztítóak lehetnek, a súlyos adatvédelmi problémáktól a pénzügyi veszteségekig és akár a személyazonosság-lopásig.

A Rhadamanthys Stealer a Google-hirdetéseket használja ki legális termékekre

Megerősítették, hogy a fenyegetés olyan fenyegető weboldalakon keresztül terjed, amelyek a népszerű szoftveralkalmazások – AnyDesk, Zoom, OBS, Notepad++ és mások – hivatalos oldalait utánozzák. A nem biztonságos oldalakat tovább népszerűsítik a kapcsolódó termékek hirdetéseivel, amelyek még magasabban jelenhetnek meg a Google találatai között, mint a legális alkalmazások hirdetései és linkjei.

A kiberbiztonsági kutatóknak több hirdetést is sikerült megfigyelniük a Rhadamanthys Stealerhez kapcsolódó weboldalakon a továbbított Google-eredményeken felül, mielőtt megjelent volna a népszerű streaming szolgáltatás, az OBS (Open Broadcasting Service) eredménye. A feltételezések szerint a kiberbűnözők vásárolhatták meg a reklámszpotokat. Annak érdekében, hogy a csalás a lehető leghosszabb ideig fennmaradjon, a sérült webhelyek a Rhadamanthys fenyegetés mellett szállítják a hirdetett terméket.

Erősen ajánlott, hogy a felhasználók gondosan ellenőrizzék a megnyitott webhelyek URL-címét, hogy elkerüljék a nem biztonságos vagy káros másolásokat. Fontos megjegyezni, hogy a kiberbűnözők gyakran olyan neveket használnak, amelyek rendkívül hasonlítanak a hivatalos nevekre, az egyetlen különbség egy enyhe helyesírási hiba. Ezt a különleges technikát typosquatting néven ismerik. Hasznos lehet rámutatni arra is, hogy a Rhadamanthys-t terjesztő reklámok elterjedtsége és korrupt reklámjai az áldozat földrajzi elhelyezkedésétől függően változnak.