Rhadamanthys Stealer abusa di Google Ads per fornire payload

Rhadamanthys, un software dannoso progettato per rubare dati come password e indirizzi e-mail, viene ora pubblicizzato su Google Ads. Prende di mira anche le credenziali del portafoglio di criptovaluta e viene commercializzato come malware-as-a-service (MaaS).

Prende il nome dal semidio figlio di Zeus ed Europa nella mitologia greca, Rhadamanthys ha occupato gli annunci di Google per la registrazione video gratuita e il servizio di streaming OBS (Open Broadcasting Service). Questa piattaforma è ampiamente utilizzata dagli streamer, il che la rende un bersaglio attraente per i criminali informatici.

Dal novembre dello scorso anno, la popolarità di Rhadamanthys è cresciuta rapidamente. Se un utente cerca OBS, verrà visualizzato con cinque annunci pericolosi nella parte superiore della ricerca su Google prima che i risultati legittimi vengano visualizzati di seguito.

Facendo clic su questi collegamenti si accede al download sia di software legittimo che di malware. I criminali utilizzano tecniche di typosquatting per rendere gli URL simili al sito ufficiale di OBS ma con sottili errori di ortografia per ritardare la risposta delle vittime.

Le prove suggeriscono che il Sud America sta ricevendo più annunci corrotti rispetto ad altri paesi come l'Europa e gli Stati Uniti.

Come funziona Rhadamanthys?

Rhadamanthys viene distribuito utilizzando sia annunci Google compromessi che campagne e-mail di spam. Una volta distribuito sul sistema della vittima, il malware raccoglie prima i dati di sistema, inclusi il tipo e la versione del sistema operativo, le informazioni sull'hardware e gli elenchi dei software installati, nonché l'indirizzo IP della macchina. Il malware può eseguire comandi PowerShell, il che lo rende particolarmente pericoloso.

Rhadamanthys viene venduto utilizzando un modello testato noto come "malware-as-a-service" o MaaS. Ciò significa che gli hacker in erba che acquistano il pacchetto dannoso avranno accesso all'infrastruttura consolidata e alle interfacce del pannello di controllo che sono agganciate ai controlli globali per il malware, gestiti dai suoi autori.

Il malware può anche prendere di mira i portafogli crittografici e raccogliere dati da essi. Viene presa di mira una vasta gamma di portafogli e piattaforme crittografiche, tra cui Binance, Bitcoin, Electron, Zap e Solar Wallet, tra gli altri.

Rhadamanthys può anche rubare dati dalle estensioni del browser create per funzionare con i portafogli crittografici, con un impressionante elenco di estensioni che possono essere raccolte per ottenere informazioni.

Il malware stealer come Rhadamanthys è sempre più popolare

L'ascesa del crimine informatico ha visto un'impennata nell'uso di infostealer e crypto stealer. Questi programmi dannosi sono progettati per rubare informazioni sensibili da vittime ignare, come nomi utente, password, numeri di carte di credito e altri dati personali. Il più noto di questi è Rhadamanthys Stealer, un tipo di malware che prende di mira i portafogli di criptovalute.

Rhadamanthys Stealer funziona infettando i computer con codice dannoso che può quindi essere utilizzato per accedere agli account degli utenti e rubare i loro fondi. Può anche essere utilizzato per ottenere l'accesso ad altre informazioni sensibili memorizzate sul computer, come e-mail o documenti. Una volta che l'hacker ha ottenuto l'accesso al portafoglio della vittima, può trasferire fondi senza che la vittima ne sia a conoscenza o senza il suo permesso.

I rischi associati a Rhadamanthys Stealer sono significativi. Non solo mette a rischio la sicurezza finanziaria degli utenti, ma mette a rischio anche le loro informazioni personali. Inoltre, se un hacker ottiene l'accesso al portafoglio di un utente, potrebbe essere in grado di utilizzarlo per riciclaggio di denaro o altre attività illegali. Pertanto, è importante che gli utenti prendano provvedimenti per proteggersi da questo tipo di attacco utilizzando password complesse e autenticazione a due fattori. Inoltre, gli utenti devono assicurarsi di mantenere aggiornati i propri computer e software per ridurre il rischio di infezione.