Radamanthys Stealer

Nevarna programska oprema, znana kot Rhadamanthys, izkorišča Googlove oglase, da žrtve zavede, da nevede okužijo njihove računalnike. Theas Rhadamanthys Stealer je sposoben zbirati občutljive podatke, vključno z gesli, e-poštnimi naslovi in poverilnicami denarnice za kriptovalute. Kraji informacij so postali vse bolj priljubljeni med kibernetskimi kriminalci, ker jih je mogoče uporabiti v več različnih napadalnih operacijah. Rhadamanthys je ponujen v prodajo drugim spletnim kriminalcem ali skupinam hekerjev prek sheme MaaS (Malware-as-a-Service).

Nevarne sposobnosti kradljivca Rhadamanthys

Ko se Rhadamanthys izvede na napravi žrtve, bo začel delovati z zbiranjem številnih sistemskih podrobnosti – ime naprave, model, operacijski sistem, arhitektura OS, podrobnosti strojne opreme, nameščena programska oprema, naslovi IP in uporabniške poverilnice. Grožnja je tudi sposobna izvajati posebne ukaze PowerShell. Napadalci bi lahko uporabili Rhadamanthys tudi za pridobitev ciljnih datotek dokumentov, ki vsebujejo potencialno občutljive podatke. Rhadamanthys Stealer je sposoben tudi pridobiti gesla za denarnice s kriptovalutami. Če so poverilnice denarnice uspešno ogrožene, lahko akterji groženj prenesejo vsa sredstva, ki jih najdejo v njih, v lastne kripto denarnice. Skratka, posledice okužbe z Rhadamanthys Stealer so lahko uničujoče, od resnih težav z zasebnostjo do finančnih izgub in celo kraje identitete.

Rhadamanthys Stealer izkorišča Googlove oglase za legitimne izdelke

Potrjeno je bilo, da se grožnja širi prek nevarnih spletnih mest, ki posnemajo uradne strani priljubljenih programskih aplikacij – AnyDesk, Zoom, OBS, Notepad++ in drugih. Strani, ki niso varne, se dodatno oglašujejo prek oglasov za povezane izdelke, ki se lahko med Googlovimi rezultati pojavijo celo višje kot oglasi in povezave zakonitih aplikacij.

Raziskovalcem kibernetske varnosti je uspelo opaziti več oglasov za spletna mesta, povezana z Rhadamanthys Stealer, poleg dostavljenih Googlovih rezultatov, preden se je pojavil rezultat za priljubljeno pretočno storitev OBS (Open Broadcasting Service). Špekulira se, da so kibernetski kriminalci morda kupili oglaševalska mesta. Da bi prevara trajala čim dlje, pokvarjena spletna mesta oglaševani izdelek dostavijo skupaj z grožnjo Rhadamanthys.

Močno priporočamo, da uporabniki natančno preverijo URL-je spletnih mest, ki jih odprejo, da se izognejo nevarnim ali škodljivim posnemovalcem. Ne pozabite, da kibernetski kriminalci pogosto uporabljajo imena, ki so zelo podobna uradnim, razlika pa je le v manjši črkovalni napaki. Ta posebna tehnika je znana kot typosquatting. Prav tako bi bilo koristno poudariti, da se razširjenost in pokvarjeni oglasi, ki širijo Rhadamanthys, razlikujejo glede na geolokacijo žrtve.