Rhadamanthys Stealer abusa dos anúncios do Google para fornecer carga útil

O Rhadamanthys, um software malicioso projetado para roubar dados como senhas e endereços de e-mail, agora está sendo anunciado nos anúncios do Google. Ele também visa credenciais de carteira de criptomoeda e está sendo comercializado como malware-as-a-service (MaaS).

Nomeado após o filho semideus de Zeus e Europa na mitologia grega, Rhadamanthys tem ocupado anúncios do Google para gravação de vídeo gratuita e serviço de streaming OBS (Open Broadcasting Service). Essa plataforma é amplamente utilizada por streamers, tornando-se um alvo atraente para cibercriminosos.

Desde novembro do ano passado, a popularidade do Rhadamanthys vem crescendo rapidamente. Se um usuário pesquisar por OBS, ele encontrará cinco anúncios perigosos na parte superior da pesquisa do Google antes que os resultados legítimos apareçam abaixo.

Clicar nesses links leva ao download de software legítimo e malware. Os criminosos usam técnicas de typosquatting para fazer com que os URLs pareçam com o site oficial do OBS, mas com erros de ortografia sutis para atrasar a resposta das vítimas.

Evidências sugerem que a América do Sul está recebendo mais anúncios corrompidos do que outros países, como Europa e Estados Unidos.

Como funciona o Rhadamanthys?

Rhadamanthys é distribuído usando anúncios comprometidos do Google e campanhas de e-mail de spam. Uma vez implantado no sistema da vítima, o malware primeiro coleta dados do sistema, incluindo tipo e versão do sistema operacional, informações de hardware e listas de softwares instalados, bem como o endereço IP da máquina. O malware pode executar comandos do PowerShell, o que o torna particularmente perigoso.

O Rhadamanthys é vendido usando um modelo testado conhecido como "malware como serviço" ou MaaS. Isso significa que os hackers iniciantes que comprarem o pacote malicioso terão acesso à infraestrutura estabelecida e às interfaces do painel de controle conectadas aos controles globais do malware, operados por seus autores.

O malware também pode atingir carteiras criptográficas e coletar dados delas. Uma ampla gama de carteiras e plataformas criptográficas são visadas, incluindo Binance, Bitcoin, Electron, Zap e Solar Wallet, entre outras.

Rhadamanthys também pode roubar dados de extensões de navegador feitas para operar com carteiras criptográficas, com uma lista impressionante de extensões que podem ser extraídas para obter informações.

O malware ladrão como Rhadamanthys é cada vez mais popular

A ascensão do cibercrime viu um aumento no uso de infostealers e cripto ladrões. Esses programas maliciosos são projetados para roubar informações confidenciais de vítimas inocentes, como nomes de usuário, senhas, números de cartão de crédito e outros dados pessoais. O mais notório deles é o Rhadamanthys Stealer, que é um tipo de malware que visa carteiras de criptomoedas.

O Rhadamanthys Stealer funciona infectando computadores com códigos maliciosos que podem ser usados para acessar contas de usuários e roubar seus fundos. Também pode ser usado para obter acesso a outras informações confidenciais armazenadas no computador, como e-mails ou documentos. Depois que o hacker obtém acesso à carteira da vítima, ele pode transferir fundos sem o conhecimento ou permissão da vítima.

Os riscos associados ao Rhadamanthys Stealer são significativos. Isso não apenas coloca em risco a segurança financeira dos usuários, mas também suas informações pessoais. Além disso, se um hacker obtiver acesso à carteira de um usuário, ele poderá usá-la para lavagem de dinheiro ou outras atividades ilegais. Portanto, é importante que os usuários tomem medidas para se proteger desse tipo de ataque usando senhas fortes e autenticação de dois fatores. Além disso, os usuários devem manter seus computadores e software atualizados para reduzir o risco de infecção.