Rhadamanthys Stealer

En truende programvare kjent som Rhadamanthys utnytter Google-annonser for å lure ofre til å ubevisst infisere datamaskinene deres. Theas Rhadamanthys Stealer er i stand til å samle inn sensitiv informasjon, inkludert passord, e-postadresser og cryptocurrency-lommeboklegitimasjon. Informasjonstyvere har blitt stadig mer populære blant nettkriminelle på grunn av deres evne til å bli brukt i flere forskjellige angrepsoperasjoner. Rhadamanthys tilbys for salg til andre nettkriminelle eller hackergrupper gjennom en MaaS-ordning (Malware-as-a-Service).

De truende egenskapene til Rhadamanthys Stealer

Når Rhadamanthys er henrettet på offerets enhet, vil den starte driften ved å samle inn en rekke systemdetaljer – enhetsnavn, modell, operativsystem, OS-arkitektur, maskinvaredetaljer, installert programvare, IP-adresser og brukerlegitimasjon. Trusselen er også i stand til å utføre spesifikke PowerShell-kommandoer. Angriperne kan også bruke Rhadamanthys for å skaffe målrettede dokumentfiler som inneholder potensielt sensitiv informasjon. Rhadamanthys Stealer er også i stand til å trekke ut passord for kryptovaluta-lommebøker. Hvis lommeboklegitimasjonen blir kompromittert, kan trusselaktørene siphore ut eventuelle midler som finnes i dem til sine egne krypto-lommebøker. Kort sagt, konsekvensene av en Rhadamanthys Stealer-infeksjon kan være ødeleggende, alt fra alvorlige personvernproblemer til økonomiske tap og til og med identitetstyveri.

The Rhadamanthys Stealer utnytter Googles annonser for legitime produkter

Trusselen har blitt bekreftet å spres via truende nettsteder som etterligner de offisielle sidene til populære programvareapplikasjoner - AnyDesk, Zoom, OBS, Notepad++ og andre. De usikre sidene markedsføres videre via annonser for det tilknyttede produktet som kan vises enda høyere i Google-resultatene enn annonsene og koblingene til de legitime applikasjonene.

Cybersikkerhetsforskere klarte å observere flere annonser for de Rhadamanthys Stealer-relaterte nettstedene på toppen av de leverte Google-resultatene før resultatet for den populære strømmetjenesten OBS (Open Broadcasting Service) dukket opp. Det spekuleres i at nettkriminelle kan ha kjøpt reklameplassene. For å holde rusen oppe så lenge som mulig, leverer korrupte nettsteder det annonserte produktet sammen med Rhadamanthys-trusselen.

Det anbefales på det sterkeste at brukere nøye sjekker URL-en til nettstedene de åpner for å unngå utrygge eller skadelige copycats. Det er viktig å huske at nettkriminelle ofte bruker navn som er ekstremt like de offisielle, den eneste forskjellen er en liten stavefeil. Denne spesielle teknikken er kjent som typosquatting. Det kan også være nyttig å påpeke at utbredelsen og de korrupte reklamene som sprer Rhadamanthys varierer basert på offerets geolokalisering.