Rhadamanthys Stealer
Groźne oprogramowanie znane jako Rhadamanthys wykorzystuje reklamy Google, aby nakłonić ofiary do nieświadomego zainfekowania ich komputerów. Theas Rhadamanthys Stealer może zbierać poufne informacje, w tym hasła, adresy e-mail i dane uwierzytelniające portfela kryptowalut. Złodzieje informacji stają się coraz bardziej popularni wśród cyberprzestępców ze względu na możliwość wykorzystania ich w kilku różnych operacjach ataków. Rhadamanthys jest oferowany do sprzedaży innym cyberprzestępcom lub grupom hakerów za pośrednictwem schematu MaaS (Malware-as-a-Service).
Groźne zdolności Rhadamanthys Stealer
Gdy Rhadamanthys zostanie uruchomiona na urządzeniu ofiary, rozpocznie działanie od zebrania wielu szczegółów systemowych - nazwy urządzenia, modelu, systemu operacyjnego, architektury systemu operacyjnego, szczegółów sprzętu, zainstalowanego oprogramowania, adresów IP i danych uwierzytelniających użytkownika. Zagrożenie jest również zdolne do wykonywania określonych poleceń programu PowerShell. Osoby atakujące mogły również wykorzystać Rhadamanthys do uzyskania docelowych plików dokumentów zawierających potencjalnie poufne informacje. Rhadamanthys Stealer jest również w stanie wydobywać hasła do portfeli kryptowalut. Jeśli dane uwierzytelniające portfela zostaną pomyślnie naruszone, cyberprzestępcy mogą przelać wszelkie znalezione w nich środki do własnych krypto-portfeli. Krótko mówiąc, konsekwencje infekcji Rhadamanthys Stealer mogą być druzgocące, od poważnych problemów prywatności po straty finansowe, a nawet kradzież tożsamości.
Rhadamanthys Stealer wykorzystuje reklamy Google do legalnych produktów
Potwierdzono, że zagrożenie rozprzestrzenia się za pośrednictwem groźnych stron internetowych, które imitują oficjalne strony popularnych aplikacji - AnyDesk, Zoom, OBS, Notepad++ i innych. Niebezpieczne strony są dodatkowo promowane za pomocą reklam powiązanego produktu, które mogą pojawiać się nawet wyżej w wynikach Google niż reklamy i linki legalnych aplikacji.
Badaczom cyberbezpieczeństwa udało się zaobserwować kilka reklam witryn powiązanych z Rhadamanthys Stealer nad dostarczonymi wynikami Google, zanim pojawił się wynik dla popularnej usługi przesyłania strumieniowego OBS (Open Broadcasting Service). Spekuluje się, że cyberprzestępcy mogli wykupić spoty reklamowe. Aby utrzymać podstęp tak długo, jak to możliwe, uszkodzone strony internetowe dostarczają reklamowany produkt wraz z zagrożeniem Rhadamanthys.
Zdecydowanie zaleca się, aby użytkownicy dokładnie sprawdzali adresy URL otwieranych witryn, aby uniknąć niebezpiecznych lub szkodliwych naśladowców. Należy pamiętać, że cyberprzestępcy często używają nazw, które są bardzo podobne do oficjalnych, a jedyną różnicą jest niewielki błąd w pisowni. Ta szczególna technika jest znana jako typosquatting. Przydatne może być również zwrócenie uwagi, że rozpowszechnienie i zepsute reklamy rozpowszechniające Rhadamanthys różnią się w zależności od geolokalizacji ofiary.
