Rhadamanthys Stealer misbruker Google Ads for å levere nyttelast

Rhadamanthys, en ondsinnet programvare utviklet for å stjele data som passord og e-postadresser, blir nå annonsert på Google-annonser. Den er også rettet mot cryptocurrency lommebok-legitimasjon og markedsføres som malware-as-a-service (MaaS).

Oppkalt etter halvgudbarnet til Zevs og Europa i gresk mytologi, har Rhadamanthys okkupert Google-annonser for gratis videoopptak og strømmetjeneste OBS (Open Broadcasting Service). Denne plattformen er mye brukt av streamere, noe som gjør den til et attraktivt mål for nettkriminelle.

Siden november i fjor har populariteten til Rhadamanthys vokst raskt. Hvis en bruker søker etter OBS, vil de bli møtt med fem farlige annonser øverst i Google-søket før legitime resultater vises nedenfor.

Å klikke på disse koblingene fører til nedlasting av både legitim programvare og skadelig programvare. De kriminelle bruker typosquatting-teknikker for å få nettadressene til å ligne på det offisielle OBS-nettstedet, men med subtile stavefeil for å forsinke ofrenes svar.

Bevis tyder på at Sør-Amerika mottar flere korrupte annonser enn andre land som Europa og USA.

Hvordan fungerer Rhadamanthys?

Rhadamanthys distribueres ved hjelp av både kompromitterte Google Ads og spam-e-postkampanjer. Når den først er distribuert på offersystemet, samler skadevaren først inn systemdata, inkludert OS-type og -versjon, maskinvareinformasjon og installert programvare, samt maskinens IP-adresse. Skadevaren kan utføre PowerShell-kommandoer, noe som gjør den spesielt farlig.

Rhadamanthys selges med en testet modell kjent som "malware-as-a-service" eller MaaS. Dette betyr at de spirende hackerne som kjøper den ondsinnede pakken vil ha tilgang til etablert infrastruktur og kontrollpanelgrensesnitt som er koblet til de globale kontrollene for skadelig programvare, drevet av forfatterne.

Skadevaren kan også målrette mot kryptolommebøker og samle inn data fra dem. Et bredt spekter av kryptolommebøker og -plattformer er målrettet, inkludert Binance, Bitcoin, Electron, Zap og Solar Wallet, blant andre.

Rhadamanthys kan også stjele data fra nettleserutvidelser laget for å operere med kryptolommebøker, med en imponerende liste over utvidelser som kan skrapes etter informasjon.

Skadevare som Rhadamanthys er stadig mer populært

Fremveksten av nettkriminalitet har sett en økning i bruken av infotyvere og kryptotyvere. Disse ondsinnede programmene er utviklet for å stjele sensitiv informasjon fra intetanende ofre, for eksempel brukernavn, passord, kredittkortnumre og andre personlige data. Den mest beryktede av disse er Rhadamanthys Stealer, som er en type skadelig programvare som retter seg mot kryptovaluta-lommebøker.

Rhadamanthys Stealer fungerer ved å infisere datamaskiner med ondsinnet kode som deretter kan brukes til å få tilgang til brukerkontoer og stjele pengene deres. Den kan også brukes til å få tilgang til annen sensitiv informasjon som er lagret på datamaskinen, for eksempel e-post eller dokumenter. Når hackeren har fått tilgang til offerets lommebok, kan de overføre penger uten offerets viten eller tillatelse.

Risikoen forbundet med Rhadamanthys Stealer er betydelig. Ikke bare setter det brukernes økonomiske sikkerhet i fare, men det setter også deres personlige opplysninger i fare. Videre, hvis en hacker får tilgang til en brukers lommebok, kan de kanskje bruke den til hvitvasking eller andre ulovlige aktiviteter. Som sådan er det viktig for brukere å ta skritt for å beskytte seg mot denne typen angrep ved å bruke sterke passord og tofaktorautentisering. I tillegg bør brukere sørge for å holde datamaskinene og programvaren oppdatert for å redusere risikoen for infeksjon.