Rhadamanthys Stealer

Загрозливе програмне забезпечення, відоме як Rhadamanthys, використовує рекламу Google, щоб обманом змусити жертв несвідомо заразити їхні комп’ютери. Theas Rhadamanthys Stealer здатний збирати конфіденційну інформацію, включаючи паролі, адреси електронної пошти та облікові дані гаманця криптовалюти. Викрадачі інформації стають все більш популярними серед кіберзлочинців завдяки їх здатності використовуватися в кількох різних атаках. Rhadamanthys пропонується для продажу іншим кіберзлочинцям або хакерським групам через схему MaaS (зловмисне програмне забезпечення як послуга).

Загрозливі можливості викрадача Радамантіса

Після того, як Rhadamanthys буде запущено на пристрої жертви, він почне свою роботу, збираючи численні відомості про систему – назву пристрою, модель, операційну систему, архітектуру ОС, деталі обладнання, встановлене програмне забезпечення, IP-адреси та облікові дані користувача. Загроза також здатна виконувати певні команди PowerShell. Зловмисники також могли використовувати Rhadamanthys для отримання цільових файлів документів, що містять потенційно конфіденційну інформацію. Rhadamanthys Stealer також здатний витягувати паролі для криптовалютних гаманців. Якщо облікові дані гаманця успішно скомпрометовано, зловмисники можуть перевести будь-які знайдені в них кошти на власні крипто-гаманці. Коротше кажучи, наслідки зараження Rhadamanthys Stealer можуть бути руйнівними, починаючи від серйозних проблем із конфіденційністю до фінансових втрат і навіть крадіжки особистих даних.

Викрадач Rhadamanthys використовує рекламу Google для легальних продуктів

Було підтверджено, що загроза поширюється через загрозливі веб-сайти, які імітують офіційні сторінки популярних програмних додатків – AnyDesk, Zoom, OBS, Notepad++ та інших. Небезпечні сторінки додатково рекламуються через рекламу пов’язаного продукту, яка може відображатися навіть вище в результатах Google, ніж реклама та посилання законних програм.

Дослідникам кібербезпеки вдалося спостерігати кілька рекламних оголошень для веб-сайтів, пов’язаних із Rhadamanthys Stealer, поверх наданих результатів Google, перш ніж з’явився результат для популярного потокового сервісу OBS (Open Broadcasting Service). Припускають, що кіберзлочинці могли придбати рекламні місця. Щоб обман продовжував діяти якомога довше, пошкоджені веб-сайти доставляють рекламований продукт разом із загрозою Rhadamanthys.

Настійно рекомендується, щоб користувачі ретельно перевіряли URL-адреси сайтів, які вони відкривають, щоб уникнути небезпечних або шкідливих імітаторів. Важливо пам’ятати, що кіберзлочинці часто використовують імена, які дуже схожі на офіційні, лише з невеликою орфографічною помилкою. Ця конкретна техніка відома як типосквотінг. Також може бути корисно зазначити, що поширеність і спотворена реклама, яка поширює Rhadamanthys, змінюється залежно від геолокації жертви.