Rhadamanthys Stealer
Sinasamantala ng isang nagbabantang software na kilala bilang Rhadamanthys ang mga advertisement ng Google para linlangin ang mga biktima na hindi nila alam na mahawahan ang kanilang mga computer. Ang Theas Rhadamanthys Stealer ay may kakayahang mangolekta ng sensitibong impormasyon, kabilang ang mga password, email address at mga kredensyal ng wallet ng cryptocurrency. Ang mga nagnanakaw ng impormasyon ay lalong naging popular sa mga cybercriminal dahil sa kanilang kakayahang magamit sa maraming iba't ibang operasyon ng pag-atake. Ang Rhadamanthys ay inaalok para sa pagbebenta sa iba pang mga cybercriminal o hacker na grupo sa pamamagitan ng isang MaaS (Malware-as-a-Service) scheme.
Ang Mga Kakayahang Nagbabanta ng Rhadamanthys Stealer
Sa sandaling maisakatuparan ang Rhadamanthys sa device ng biktima, sisimulan nito ang operasyon nito sa pamamagitan ng pangangalap ng maraming detalye ng system - pangalan ng device, modelo, operating system, arkitektura ng OS, mga detalye ng hardware, naka-install na software, mga IP address at mga kredensyal ng user. Ang banta ay may kakayahang magsagawa ng mga partikular na utos ng PowerShell. Ang mga umaatake ay maaari ring gamitin ang Rhadamanthys upang makakuha ng mga naka-target na file ng dokumento na naglalaman ng potensyal na sensitibong impormasyon. Ang Rhadamanthys Stealer ay may kakayahang mag-extract ng mga password para sa mga wallet ng cryptocurrency. Kung matagumpay na nakompromiso ang mga kredensyal ng wallet, maaaring ma-siphon ng mga banta ng aktor ang anumang mga pondong makikita sa kanila sa kanilang sariling mga crypto-wallet. Sa madaling salita, ang mga kahihinatnan ng isang impeksyon sa Rhadamanthys Stealer ay maaaring mapangwasak, mula sa mga seryosong isyu sa privacy hanggang sa mga pagkalugi sa pananalapi at maging ang pagnanakaw ng pagkakakilanlan.
Sinasamantala ng Rhadamanthys Stealer ang Google Advertisements para sa mga Lehitimong Produkto
Ang banta ay nakumpirma na kumalat sa pamamagitan ng mga nagbabantang website na ginagaya ang mga opisyal na pahina ng mga sikat na software application - AnyDesk, Zoom, OBS, Notepad++, at iba pa. Ang mga hindi ligtas na pahina ay higit pang na-promote sa pamamagitan ng mga advertisement para sa nauugnay na produkto na maaaring mas mataas pa sa mga resulta ng Google kaysa sa mga advertisement at link ng mga lehitimong aplikasyon.
Nagawa ng mga mananaliksik sa cybersecurity na obserbahan ang ilang advertisement para sa mga website na nauugnay sa Rhadamanthys Stealer sa itaas ng mga naihatid na resulta ng Google bago lumabas ang resulta para sa sikat na streaming service na OBS (Open Broadcasting Service). Ipinapalagay na ang mga cybercriminal ay maaaring bumili ng mga lugar ng advertising. Upang mapanatili ang pandaraya hangga't maaari, ang mga sirang website ay naghahatid ng ina-advertise na produkto kasama ng banta ng Rhadamanthys.
Lubos na inirerekumenda na maingat na suriin ng mga user ang URL ng mga site na kanilang binubuksan upang maiwasan ang mga hindi ligtas o nakakapinsalang copycats. Mahalagang tandaan na ang mga cybercriminal ay kadalasang gumagamit ng mga pangalan na lubos na katulad ng mga opisyal, ang pagkakaiba lamang ay isang bahagyang pagkakamali sa spelling. Ang partikular na pamamaraan na ito ay kilala bilang typosquatting. Maaaring kapaki-pakinabang din na ituro na ang pagkalat at ang mga tiwaling ad na kumakalat sa Rhadamanthys ay nag-iiba-iba batay sa geolocation ng biktima.
