Rhadamanthys Stealer

Un logiciel menaçant connu sous le nom de Rhadamanthys profite des publicités de Google pour inciter les victimes à infecter leurs ordinateurs sans le savoir. Theas Rhadamanthys Stealer est capable de collecter des informations sensibles, notamment des mots de passe, des adresses e-mail et des informations d'identification de portefeuille de crypto-monnaie. Les voleurs d'informations sont devenus de plus en plus populaires parmi les cybercriminels en raison de leur capacité à être utilisés dans plusieurs opérations d'attaque différentes. Rhadamanthys est proposé à la vente à d'autres cybercriminels ou groupes de pirates via un programme MaaS (Malware-as-a-Service).

Les capacités menaçantes du voleur de Rhadamanthys

Une fois que Rhadamanthys est exécuté sur l'appareil de la victime, il commencera son fonctionnement en rassemblant de nombreux détails système - nom de l'appareil, modèle, système d'exploitation, architecture du système d'exploitation, détails matériels, logiciels installés, adresses IP et informations d'identification de l'utilisateur. La menace est également capable d'exécuter des commandes PowerShell spécifiques. Les attaquants pourraient également utiliser Rhadamanthys pour obtenir des fichiers de documents ciblés contenant des informations potentiellement sensibles. Le Rhadamanthys Stealer est également capable d'extraire des mots de passe pour les portefeuilles de crypto-monnaie. Si les informations d'identification du portefeuille sont compromises avec succès, les acteurs de la menace pourraient siphonner tous les fonds qu'ils contiennent vers leurs propres portefeuilles cryptographiques. En bref, les conséquences d'une infection par Rhadamanthys Stealer pourraient être dévastatrices, allant de graves problèmes de confidentialité à des pertes financières et même au vol d'identité.

Le Rhadamanthys Stealer exploite les publicités Google pour des produits légitimes

Il a été confirmé que la menace se propage via des sites Web menaçants qui imitent les pages officielles d'applications logicielles populaires - AnyDesk, Zoom, OBS, Notepad++ et autres. Les pages dangereuses sont en outre promues via des publicités pour le produit associé qui peuvent apparaître encore plus haut dans les résultats de Google que les publicités et les liens des applications légitimes.

Les chercheurs en cybersécurité ont réussi à observer plusieurs publicités pour les sites Web liés à Rhadamanthys Stealer en plus des résultats Google fournis avant que le résultat du service de streaming populaire OBS (Open Broadcasting Service) n'apparaisse. On suppose que les cybercriminels ont peut-être acheté les spots publicitaires. Pour maintenir la ruse aussi longtemps que possible, les sites Web corrompus fournissent le produit annoncé aux côtés de la menace Rhadamanthys.

Il est fortement recommandé aux utilisateurs de vérifier attentivement l'URL des sites qu'ils ouvrent pour éviter les copies dangereuses ou nuisibles. Il est essentiel de rappeler que les cybercriminels utilisent souvent des noms extrêmement similaires aux noms officiels, la seule différence étant une légère faute d'orthographe. Cette technique particulière est connue sous le nom de typosquatting. Il peut également être utile de souligner que la prévalence et les publicités corrompues diffusant Rhadamanthys varient en fonction de la géolocalisation de la victime.