Rhadamanthys Stealer nadużywa Google Ads, aby dostarczyć ładunek

Rhadamanthys, złośliwe oprogramowanie przeznaczone do kradzieży danych, takich jak hasła i adresy e-mail, jest teraz reklamowane w reklamach Google. Jego celem są również poświadczenia portfela kryptowalut i jest reklamowany jako złośliwe oprogramowanie jako usługa (MaaS).

Nazwany na cześć półboskiego dziecka Zeusa i Europy z mitologii greckiej, Rhadamanthys zajmuje reklamy Google dla bezpłatnej usługi nagrywania i przesyłania strumieniowego wideo OBS (Open Broadcasting Service). Platforma ta jest szeroko wykorzystywana przez streamerów, co czyni ją atrakcyjnym celem dla cyberprzestępców.

Od listopada ubiegłego roku popularność Rhadamanthys gwałtownie rośnie. Jeśli użytkownik wyszukuje OBS, zobaczy pięć niebezpiecznych reklam u góry wyszukiwarki Google, zanim poniżej pojawią się wiarygodne wyniki.

Kliknięcie tych linków prowadzi do pobrania zarówno legalnego oprogramowania, jak i złośliwego oprogramowania. Przestępcy używają technik typusquatting, aby adresy URL wyglądały podobnie do oficjalnej strony OBS, ale z subtelnymi błędami ortograficznymi w celu opóźnienia odpowiedzi ofiary.

Dowody sugerują, że Ameryka Południowa otrzymuje więcej skorumpowanych reklam niż inne kraje, takie jak Europa i Stany Zjednoczone.

Jak działa Rhadamanthys?

Rhadamanthys jest dystrybuowana zarówno za pomocą zainfekowanych Google Ads, jak i spamowych kampanii e-mailowych. Po wdrożeniu w systemie ofiary złośliwe oprogramowanie zbiera najpierw dane systemowe, w tym typ i wersję systemu operacyjnego, informacje o sprzęcie i listę zainstalowanego oprogramowania, a także adres IP maszyny. Złośliwe oprogramowanie może wykonywać polecenia PowerShell, co czyni je szczególnie niebezpiecznym.

Rhadamanthys jest sprzedawany przy użyciu przetestowanego modelu znanego jako „malware-as-a-service” lub MaaS. Oznacza to, że początkujący hakerzy, którzy kupią szkodliwy pakiet, uzyskają dostęp do ustalonej infrastruktury i interfejsów panelu kontrolnego, które są podłączone do globalnej kontroli złośliwego oprogramowania obsługiwanej przez jego autorów.

Szkodliwe oprogramowanie może również atakować portfele kryptograficzne i zbierać z nich dane. Celem jest szeroka gama portfeli i platform kryptograficznych, w tym między innymi Binance, Bitcoin, Electron, Zap i Solar Wallet.

Rhadamanthys może również kraść dane z rozszerzeń przeglądarki stworzonych do współpracy z portfelami kryptograficznymi, z imponującą listą rozszerzeń, które można zeskrobać w celu uzyskania informacji.

Złośliwe oprogramowanie wykradające, takie jak Rhadamanthys, jest coraz bardziej popularne

Wzrost cyberprzestępczości spowodował gwałtowny wzrost wykorzystania kradzieży informacji i kradzieży kryptowalut. Te złośliwe programy mają na celu kradzież poufnych informacji od niczego niepodejrzewających ofiar, takich jak nazwy użytkowników, hasła, numery kart kredytowych i inne dane osobowe. Najbardziej znanym z nich jest Rhadamanthys Stealer, rodzaj złośliwego oprogramowania atakującego portfele kryptowalut.

Rhadamanthys Stealer działa poprzez infekowanie komputerów złośliwym kodem, którego można następnie użyć do uzyskania dostępu do kont użytkowników i kradzieży ich funduszy. Można go również wykorzystać do uzyskania dostępu do innych poufnych informacji przechowywanych na komputerze, takich jak wiadomości e-mail lub dokumenty. Gdy haker uzyska dostęp do portfela ofiary, może przelać środki bez wiedzy i zgody ofiary.

Ryzyko związane z Rhadamanthys Stealer jest znaczne. Nie tylko zagraża to bezpieczeństwu finansowemu użytkowników, ale także ich danym osobowym. Ponadto, jeśli haker uzyska dostęp do portfela użytkownika, może go użyć do prania pieniędzy lub innych nielegalnych działań. W związku z tym ważne jest, aby użytkownicy podejmowali kroki w celu ochrony przed tego typu atakami za pomocą silnych haseł i uwierzytelniania dwuskładnikowego. Ponadto użytkownicy powinni aktualizować swoje komputery i oprogramowanie, aby zmniejszyć ryzyko infekcji.