Rhadamanthys Stealer

Угрожающее программное обеспечение, известное как Rhadamanthys, использует рекламу Google, чтобы обманом заставить жертв неосознанно заразить их компьютеры. Theas Rhadamanthys Stealer может собирать конфиденциальную информацию, включая пароли, адреса электронной почты и учетные данные криптовалютного кошелька. Похитители информации становятся все более популярными среди киберпреступников из-за их способности использоваться в нескольких различных атаках. Rhadamanthys предлагается для продажи другим киберпреступникам или хакерским группам по схеме MaaS (вредоносное ПО как услуга).

Угрожающие способности похитителя Радамантиса

Как только Rhadamanthys запускается на устройстве жертвы, он начинает свою работу, собирая многочисленные сведения о системе — имя устройства, модель, операционную систему, архитектуру ОС, сведения об оборудовании, установленное программное обеспечение, IP-адреса и учетные данные пользователя. Угроза также способна выполнять определенные команды PowerShell. Злоумышленники также могут использовать Rhadamanthys для получения целевых файлов документов, содержащих потенциально конфиденциальную информацию. Rhadamanthys Stealer также способен извлекать пароли для криптовалютных кошельков. Если учетные данные кошелька будут успешно скомпрометированы, злоумышленники могут перекачать любые средства, найденные в них, на свои собственные криптокошельки. Короче говоря, последствия заражения Rhadamanthys Stealer могут быть разрушительными: от серьезных проблем с конфиденциальностью до финансовых потерь и даже кражи личных данных.

Rhadamanthys Stealer использует рекламу Google для законных продуктов

Подтверждено, что угроза распространяется через угрожающие веб-сайты, имитирующие официальные страницы популярных программных приложений — AnyDesk, Zoom, OBS, Notepad++ и других. Небезопасные страницы дополнительно продвигаются с помощью рекламы соответствующего продукта, которая может отображаться даже выше в результатах Google, чем реклама и ссылки законных приложений.

Исследователям кибербезопасности удалось увидеть несколько рекламных объявлений веб-сайтов, связанных с Rhadamanthys Stealer, поверх результатов, предоставленных Google, до того, как появился результат для популярного потокового сервиса OBS (Open Broadcasting Service). Предполагается, что рекламные ролики могли приобрести киберпреступники. Чтобы обман оставался в силе как можно дольше, поврежденные веб-сайты доставляют рекламируемый продукт вместе с угрозой Rhadamanthys.

Настоятельно рекомендуется, чтобы пользователи тщательно проверяли URL-адреса открываемых ими сайтов, чтобы избежать небезопасных или вредоносных подражателей. Важно помнить, что киберпреступники часто используют имена, очень похожие на официальные, с той лишь разницей, что они имеют небольшую орфографическую ошибку. Эта конкретная техника известна как типосквоттинг. Также может быть полезно указать, что распространенность и искаженная реклама, распространяющая Rhadamanthys, варьируется в зависимости от геолокации жертвы.