Rhadamanthys Stealer

Un software minaccioso noto come Rhadamanthys sta sfruttando gli annunci pubblicitari di Google per indurre le vittime a infettare inconsapevolmente i loro computer. Theas Rhadamanthys Stealer è in grado di raccogliere informazioni sensibili, tra cui password, indirizzi e-mail e credenziali del portafoglio di criptovaluta. I ladri di informazioni sono diventati sempre più popolari tra i criminali informatici grazie alla loro capacità di essere utilizzati in diverse operazioni di attacco. Rhadamanthys viene offerto in vendita ad altri criminali informatici o gruppi di hacker tramite uno schema MaaS (Malware-as-a-Service).

Le capacità minacciose del ladro di Rhadamanthys

Una volta eseguito Rhadamanthys sul dispositivo della vittima, inizierà il suo funzionamento raccogliendo numerosi dettagli di sistema: nome del dispositivo, modello, sistema operativo, architettura del sistema operativo, dettagli hardware, software installato, indirizzi IP e credenziali utente. La minaccia è anche in grado di eseguire specifici comandi di PowerShell. Gli aggressori potrebbero anche utilizzare Rhadamanthys per ottenere file di documenti mirati contenenti informazioni potenzialmente sensibili. Il Rhadamanthys Stealer è anche in grado di estrarre le password per i portafogli di criptovaluta. Se le credenziali del portafoglio vengono compromesse con successo, gli attori delle minacce potrebbero sottrarre tutti i fondi trovati in esse ai propri cripto-portafogli. In breve, le conseguenze di un'infezione da Rhadamanthys Stealer potrebbero essere devastanti, spaziando da gravi problemi di privacy a perdite finanziarie e persino al furto di identità.

Il ladro di Rhadamanthys sfrutta gli annunci di Google per prodotti legittimi

È stato confermato che la minaccia si diffonde tramite siti Web minacciosi che imitano le pagine ufficiali di applicazioni software popolari: AnyDesk, Zoom, OBS, Notepad ++ e altri. Le pagine non sicure vengono ulteriormente promosse tramite annunci pubblicitari per il prodotto associato che possono apparire anche più in alto nei risultati di Google rispetto agli annunci e ai collegamenti delle applicazioni legittime.

I ricercatori della sicurezza informatica sono riusciti a osservare diversi annunci pubblicitari per i siti Web relativi a Rhadamanthys Stealer in cima ai risultati forniti da Google prima che apparissero i risultati per il popolare servizio di streaming OBS (Open Broadcasting Service). Si ipotizza che i criminali informatici possano aver acquistato gli spot pubblicitari. Per mantenere lo stratagemma il più a lungo possibile, i siti Web corrotti distribuiscono il prodotto pubblicizzato insieme alla minaccia Rhadamanthys.

Si consiglia vivamente agli utenti di controllare attentamente l'URL dei siti che aprono per evitare imitazioni non sicure o dannose. È fondamentale ricordare che i criminali informatici utilizzano spesso nomi estremamente simili a quelli ufficiali, con l'unica differenza di un leggero errore di ortografia. Questa particolare tecnica è nota come typosquatting. Può anche essere utile sottolineare che la prevalenza e le pubblicità corrotte che diffondono Rhadamanthys variano in base alla geolocalizzazione della vittima.