Rhadamanthys Stealer

Grėsminga programinė įranga, žinoma kaip Rhadamanthys, naudojasi „Google“ reklama, kad apgautų aukas, kad jos nesąmoningai užkrėstų savo kompiuterius. Theas Rhadamanthys Stealer gali rinkti neskelbtiną informaciją, įskaitant slaptažodžius, el. pašto adresus ir kriptovaliutų piniginės kredencialus. Informacijos vagystės tampa vis populiaresnės tarp kibernetinių nusikaltėlių, nes gali būti naudojamos keliose skirtingose atakų operacijose. „Rhadamanthys“ siūloma parduoti kitiems kibernetiniams nusikaltėliams ar įsilaužėlių grupėms naudojant „MaaS“ (kenkėjiškos programos kaip paslauga) schemą.

„Rhadamanthys Stealer“ grėsmingi sugebėjimai

Kai „Rhadamanthys“ bus įvykdytas aukos įrenginyje, jis pradės veikti surinkdamas daugybę sistemos detalių – įrenginio pavadinimą, modelį, operacinę sistemą, OS architektūrą, aparatinės įrangos detales, įdiegtą programinę įrangą, IP adresus ir vartotojo kredencialus. Grėsmė taip pat gali vykdyti konkrečias „PowerShell“ komandas. Užpuolikai taip pat galėjo naudoti Rhadamanthys, kad gautų tikslinius dokumentų failus, kuriuose yra galimai neskelbtinos informacijos. „Rhadamanthys Stealer“ taip pat gali išgauti kriptovaliutų piniginių slaptažodžius. Jei piniginės kredencialai bus sėkmingai pažeisti, grėsmės veikėjai visas jose rastas lėšas gali pervesti į savo kriptovaliutų pinigines. Trumpai tariant, Rhadamanthys Stealer infekcijos pasekmės gali būti pražūtingos – nuo rimtų privatumo problemų iki finansinių nuostolių ir net tapatybės vagystės.

„Rhadamanthys Stealer“ naudoja „Google“ skelbimus teisėtiems produktams

Patvirtinta, kad grėsmė plinta per grėsmingas svetaines, kurios imituoja oficialius populiarių programų puslapius – AnyDesk, Zoom, OBS, Notepad++ ir kt. Nesaugūs puslapiai toliau reklamuojami naudojant susijusio produkto skelbimus, kurie „Google“ rezultatuose gali pasirodyti net aukščiau nei teisėtų programų skelbimai ir nuorodos.

Kibernetinio saugumo tyrėjams pavyko stebėti keletą su Rhadamanthys Stealer susijusių svetainių reklamų be pateiktų Google rezultatų, kol pasirodė populiarios srautinio perdavimo paslaugos OBS (Open Broadcasting Service) rezultatas. Spėjama, kad kibernetiniai nusikaltėliai galėjo įsigyti reklaminius intarpus. Kad apgaulė liktų kuo ilgiau, sugadintos svetainės pateikia reklamuojamą produktą kartu su Rhadamanthys grėsme.

Primygtinai rekomenduojama, kad naudotojai atidžiai patikrintų atidarytų svetainių URL, kad išvengtų nesaugių ar žalingų kopijų. Būtina atsiminti, kad kibernetiniai nusikaltėliai dažnai naudoja vardus, kurie yra labai panašūs į oficialius, o skirtumas yra tik nedidelė rašybos klaida. Ši konkreti technika žinoma kaip spausdinimas. Taip pat gali būti naudinga atkreipti dėmesį į tai, kad Rhadamanthys platinamos sugadintos reklamos paplitimas skiriasi priklausomai nuo aukos geografinės padėties.