Rhadamanthys Stealer abusa de los anuncios de Google para entregar carga útil

Rhadamanthys, un software malicioso diseñado para robar datos como contraseñas y direcciones de correo electrónico, ahora se anuncia en los anuncios de Google. También tiene como objetivo las credenciales de la billetera de criptomonedas y se comercializa como malware como servicio (MaaS).

Nombrado en honor al hijo semidiós de Zeus y Europa en la mitología griega, Rhadamanthys ha estado ocupando los anuncios de Google para el servicio gratuito de grabación y transmisión de video OBS (Open Broadcasting Service). Esta plataforma es ampliamente utilizada por los streamers, lo que la convierte en un objetivo atractivo para los ciberdelincuentes.

Desde noviembre del año pasado, la popularidad de Rhadamanthys ha crecido rápidamente. Si un usuario busca OBS, se encontrará con cinco anuncios peligrosos en la parte superior de su búsqueda en Google antes de que aparezcan los resultados legítimos a continuación.

Al hacer clic en estos enlaces, se descargan tanto software legítimo como malware. Los delincuentes utilizan técnicas de typosquatting para hacer que las URL se vean similares al sitio oficial de OBS pero con sutiles errores ortográficos para retrasar la respuesta de las víctimas.

La evidencia sugiere que América del Sur está recibiendo más anuncios corruptos que otros países como Europa y los EE. UU.

¿Cómo funciona Rhadamanthys?

Rhadamanthys se distribuye utilizando anuncios de Google comprometidos y campañas de correo electrónico no deseado. Una vez implementado en el sistema de la víctima, el malware primero recopila datos del sistema, incluidos el tipo y la versión del sistema operativo, la información del hardware y las listas de software instalado, así como la dirección IP de la máquina. El malware puede ejecutar comandos de PowerShell, lo que lo hace particularmente peligroso.

Rhadamanthys se vende utilizando un modelo probado conocido como "malware como servicio" o MaaS. Esto significa que los piratas informáticos en ciernes que compren el paquete malicioso tendrán acceso a la infraestructura establecida y a las interfaces del panel de control que están conectadas a los controles globales del malware, operados por sus autores.

El malware también puede apuntar a billeteras criptográficas y recopilar datos de ellas. Se apunta a una amplia gama de billeteras y plataformas criptográficas, incluidas Binance, Bitcoin, Electron, Zap y Solar Wallet, entre otras.

Rhadamanthys también puede robar datos de las extensiones del navegador creadas para operar con billeteras criptográficas, con una impresionante lista de extensiones que se pueden extraer para obtener información.

El malware ladrón como Rhadamanthys es cada vez más popular

El auge de la ciberdelincuencia ha visto un aumento en el uso de ladrones de información y de criptomonedas. Estos programas maliciosos están diseñados para robar información confidencial de víctimas desprevenidas, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales. El más notorio de estos es Rhadamanthys Stealer, que es un tipo de malware que se dirige a las billeteras de criptomonedas.

Rhadamanthys Stealer funciona infectando computadoras con código malicioso que luego se puede usar para acceder a las cuentas de los usuarios y robar sus fondos. También se puede usar para obtener acceso a otra información confidencial almacenada en la computadora, como correos electrónicos o documentos. Una vez que el pirata informático ha obtenido acceso a la billetera de la víctima, puede transferir fondos sin el conocimiento o permiso de la víctima.

Los riesgos asociados con Rhadamanthys Stealer son significativos. No solo pone en riesgo la seguridad financiera de los usuarios, sino que también pone en riesgo su información personal. Además, si un pirata informático obtiene acceso a la billetera de un usuario, es posible que pueda usarla para lavar dinero u otras actividades ilegales. Como tal, es importante que los usuarios tomen medidas para protegerse de este tipo de ataque mediante el uso de contraseñas seguras y autenticación de dos factores. Además, los usuarios deben asegurarse de mantener sus computadoras y software actualizados para reducir el riesgo de infección.