Rhadamanthys Stealer

En hotfull programvara känd som Rhadamanthys utnyttjar Googles annonser för att lura offren att omedvetet infektera sina datorer. Theas Rhadamanthys Stealer kan samla in känslig information, inklusive lösenord, e-postadresser och cryptocurrency-plånboksuppgifter. Informationsstöldare har blivit allt mer populära bland cyberkriminella på grund av deras förmåga att användas i flera olika attackoperationer. Rhadamanthys erbjuds till försäljning till andra cyberbrottslingar eller hackergrupper genom ett MaaS-system (Malware-as-a-Service).

Rhadamanthys Stealers hotfulla kapacitet

När Rhadamanthys har körts på offrets enhet, kommer den att börja sin verksamhet genom att samla in många systemdetaljer - enhetsnamn, modell, operativsystem, OS-arkitektur, hårdvarudetaljer, installerad programvara, IP-adresser och användaruppgifter. Hotet kan också utföra specifika PowerShell-kommandon. Angriparna kan också använda Rhadamanthys för att skaffa riktade dokumentfiler som innehåller potentiellt känslig information. Rhadamanthys Stealer kan också extrahera lösenord för kryptovaluta plånböcker. Om plånbokens autentiseringsuppgifter framgångsrikt äventyras kan hotaktörerna ta bort alla medel som finns i dem till sina egna kryptoplånböcker. Kort sagt, konsekvenserna av en Rhadamanthys Stealer-infektion kan vara förödande, allt från allvarliga integritetsproblem till ekonomiska förluster och till och med identitetsstöld.

Rhadamanthys Stealer utnyttjar Googles annonser för legitima produkter

Hotet har bekräftats sprids via hotfulla webbplatser som efterliknar de officiella sidorna av populära programvaror - AnyDesk, Zoom, OBS, Notepad++ och andra. De osäkra sidorna marknadsförs ytterligare via annonser för den associerade produkten som kan visas ännu högre i Googles resultat än annonserna och länkarna till de legitima applikationerna.

Cybersäkerhetsforskare lyckades observera flera annonser för de Rhadamanthys Stealer-relaterade webbplatserna ovanpå de levererade Google-resultaten innan resultatet för den populära streamingtjänsten OBS (Open Broadcasting Service) dök upp. Det spekuleras i att cyberbrottslingarna kan ha köpt reklamplatserna. För att hålla listerna uppe så länge som möjligt levererar korrupta webbplatser den annonserade produkten tillsammans med Rhadamanthys-hotet.

Det rekommenderas starkt att användare noggrant kontrollerar webbadressen till de webbplatser de öppnar för att undvika osäkra eller skadliga copycats. Det är viktigt att komma ihåg att cyberbrottslingar ofta använder namn som är extremt lika de officiella, den enda skillnaden är ett litet stavfel. Denna speciella teknik är känd som typosquatting. Det kan också vara användbart att påpeka att förekomsten och de korrupta annonserna som sprider Rhadamanthys varierar beroende på offrets geolokalisering.