Rhadamanthys Stealer misbruikt Google Ads om payload te leveren

Rhadamanthys, schadelijke software die is ontworpen om gegevens zoals wachtwoorden en e-mailadressen te stelen, wordt nu geadverteerd in Google-advertenties. Het richt zich ook op inloggegevens voor cryptocurrency-portemonnees en wordt op de markt gebracht als malware-as-a-service (MaaS).

Vernoemd naar het halfgodkind van Zeus en Europa in de Griekse mythologie, heeft Rhadamanthys Google-advertenties bezet voor de gratis video-opname- en streamingdienst OBS (Open Broadcasting Service). Dit platform wordt veel gebruikt door streamers, waardoor het een aantrekkelijk doelwit is voor cybercriminelen.

Sinds november vorig jaar is de populariteit van Rhadamanthys snel gegroeid. Als een gebruiker naar OBS zoekt, krijgt hij vijf gevaarlijke advertenties boven aan zijn Google-zoekopdracht te zien voordat legitieme resultaten hieronder verschijnen.

Het klikken op deze links leidt tot het downloaden van zowel legitieme software als malware. De criminelen gebruiken typosquatting-technieken om de URL's te laten lijken op de officiële OBS-site, maar met subtiele spelfouten om de reactie van de slachtoffers te vertragen.

Er zijn aanwijzingen dat Zuid-Amerika meer corrupte advertenties ontvangt dan andere landen zoals Europa en de VS.

Hoe werkt Rhadamanthys?

Rhadamanthys wordt gedistribueerd via zowel gecompromitteerde Google Ads als spam-e-mailcampagnes. Eenmaal ingezet op het slachtoffersysteem, verzamelt de malware eerst systeemgegevens, waaronder het type en de versie van het besturingssysteem, hardware-informatie en geïnstalleerde softwarelijsten, evenals het IP-adres van de machine. De malware kan PowerShell-commando's uitvoeren, wat het bijzonder gevaarlijk maakt.

Rhadamanthys wordt verkocht met behulp van een getest model dat bekend staat als "malware-as-a-service" of MaaS. Dit betekent dat de beginnende hackers die het kwaadaardige pakket kopen, toegang hebben tot de gevestigde infrastructuur en interfaces van het bedieningspaneel die zijn gekoppeld aan de wereldwijde controles voor de malware, beheerd door de auteurs.

De malware kan zich ook richten op crypto-wallets en er gegevens van verzamelen. Een breed scala aan crypto-wallets en -platforms is het doelwit, waaronder onder andere Binance, Bitcoin, Electron, Zap en Solar Wallet.

Rhadamanthys kan ook gegevens stelen van browserextensies die zijn gemaakt om te werken met crypto-portemonnees, met een indrukwekkende lijst met extensies die voor informatie kunnen worden geschraapt.

Stealer-malware zoals Rhadamanthys wordt steeds populairder

De opkomst van cybercriminaliteit heeft geleid tot een toename van het gebruik van infostealers en crypto-stealers. Deze kwaadaardige programma's zijn ontworpen om gevoelige informatie te stelen van nietsvermoedende slachtoffers, zoals gebruikersnamen, wachtwoorden, creditcardnummers en andere persoonlijke gegevens. De meest beruchte hiervan is Rhadamanthys Stealer, een type malware dat zich richt op cryptocurrency-portefeuilles.

Rhadamanthys Stealer werkt door computers te infecteren met kwaadaardige code die vervolgens kan worden gebruikt om toegang te krijgen tot gebruikersaccounts en hun geld te stelen. Het kan ook worden gebruikt om toegang te krijgen tot andere gevoelige informatie die op de computer is opgeslagen, zoals e-mails of documenten. Zodra de hacker toegang heeft gekregen tot de portemonnee van het slachtoffer, kunnen ze geld overboeken zonder medeweten of toestemming van het slachtoffer.

De risico's verbonden aan Rhadamanthys Stealer zijn aanzienlijk. Het brengt niet alleen de financiële veiligheid van gebruikers in gevaar, maar brengt ook hun persoonlijke gegevens in gevaar. Bovendien, als een hacker toegang krijgt tot de portemonnee van een gebruiker, kunnen ze deze mogelijk gebruiken voor het witwassen van geld of andere illegale activiteiten. Daarom is het belangrijk dat gebruikers stappen ondernemen om zichzelf tegen dit type aanval te beschermen door sterke wachtwoorden en tweefactorauthenticatie te gebruiken. Bovendien moeten gebruikers hun computers en software up-to-date houden om het risico op infectie te verkleinen.