Rhadamanthys Stealer
Een bedreigende software die bekend staat als Rhadamanthys, maakt misbruik van Google-advertenties om slachtoffers te misleiden zodat ze onbewust hun computers infecteren. Theas Rhadamanthys Stealer is in staat om gevoelige informatie te verzamelen, waaronder wachtwoorden, e-mailadressen en inloggegevens voor cryptocurrency-portemonnees. Informatiedieven zijn steeds populairder geworden onder cybercriminelen omdat ze bij verschillende aanvalsoperaties kunnen worden gebruikt. Rhadamanthys wordt te koop aangeboden aan andere cybercriminelen of hackergroepen via een MaaS-schema (Malware-as-a-Service).
De bedreigende mogelijkheden van de Rhadamanthys Stealer
Zodra Rhadamanthys is uitgevoerd op het apparaat van het slachtoffer, begint het te werken door tal van systeemgegevens te verzamelen - apparaatnaam, model, besturingssysteem, OS-architectuur, hardwaredetails, geïnstalleerde software, IP-adressen en gebruikersreferenties. De dreiging is ook in staat om specifieke PowerShell-commando's uit te voeren. De aanvallers zouden Rhadamanthys ook kunnen gebruiken om gerichte documentbestanden met potentieel gevoelige informatie te bemachtigen. De Rhadamanthys Stealer is ook in staat om wachtwoorden voor cryptocurrency-portefeuilles te extraheren. Als de inloggegevens van de portemonnee met succes zijn gecompromitteerd, kunnen de dreigingsactoren alle gevonden fondsen overhevelen naar hun eigen crypto-wallets. Kortom, de gevolgen van een Rhadamanthys Stealer-infectie kunnen verwoestend zijn, variërend van ernstige privacyschendingen tot financiële verliezen en zelfs identiteitsdiefstal.
De Rhadamanthys Stealer exploiteert Google-advertenties voor legitieme producten
Er is bevestigd dat de dreiging wordt verspreid via bedreigende websites die de officiële pagina's van populaire softwaretoepassingen nabootsen - AnyDesk, Zoom, OBS, Notepad++ en andere. De onveilige pagina's worden verder gepromoot via advertenties voor het bijbehorende product die zelfs hoger in de Google-resultaten kunnen verschijnen dan de advertenties en links van de legitieme applicaties.
Cybersecurity-onderzoekers slaagden erin verschillende advertenties voor de aan Rhadamanthys Stealer gerelateerde websites boven op de aangeleverde Google-resultaten te zien voordat het resultaat voor de populaire streamingdienst OBS (Open Broadcasting Service) verscheen. Er wordt gespeculeerd dat de cybercriminelen de reclamespots hebben gekocht. Om de list zo lang mogelijk vol te houden, leveren corrupte websites het geadverteerde product naast de Rhadamanthys-dreiging.
Het wordt ten zeerste aanbevolen dat gebruikers de URL van de sites die ze openen zorgvuldig controleren om onveilige of schadelijke copycats te voorkomen. Het is essentieel om te onthouden dat cybercriminelen vaak namen gebruiken die sterk lijken op de officiële, met als enige verschil een kleine spelfout. Deze specifieke techniek staat bekend als typosquatting. Het kan ook nuttig zijn erop te wijzen dat de prevalentie en de corrupte advertenties die Rhadamanthys verspreiden variëren op basis van de geolocatie van het slachtoffer.
