Rhadamanthys-Stealer

Eine bedrohliche Software namens Rhadamanthys nutzt Google-Werbung aus, um Opfer dazu zu bringen, unwissentlich ihre Computer zu infizieren. Rhadamanthys Stealer ist in der Lage, vertrauliche Informationen zu sammeln, darunter Passwörter, E-Mail-Adressen und Anmeldeinformationen für Kryptowährungs-Wallets. Informationsdiebstahl wird bei Cyberkriminellen immer beliebter, da sie für verschiedene Angriffsoperationen eingesetzt werden können. Rhadamanthys wird anderen Cyberkriminellen oder Hackergruppen über ein MaaS-Programm (Malware-as-a-Service) zum Verkauf angeboten.

Die bedrohlichen Fähigkeiten des Rhadamanthys-Stealers

Sobald Rhadamanthys auf dem Gerät des Opfers ausgeführt wird, beginnt es seinen Betrieb, indem es zahlreiche Systemdetails sammelt – Gerätename, Modell, Betriebssystem, Betriebssystemarchitektur, Hardwaredetails, installierte Software, IP-Adressen und Benutzeranmeldeinformationen. Die Bedrohung ist auch in der Lage, bestimmte PowerShell-Befehle auszuführen. Die Angreifer könnten Rhadamanthys auch verwenden, um gezielt Dokumentdateien mit potenziell sensiblen Informationen abzurufen. Der Rhadamanthys Stealer ist auch in der Lage, Passwörter für Kryptowährungs-Wallets zu extrahieren. Wenn Wallet-Anmeldeinformationen erfolgreich kompromittiert werden, könnten die Bedrohungsakteure alle darin gefundenen Gelder in ihre eigenen Krypto-Wallets abschöpfen. Kurz gesagt, die Folgen einer Rhadamanthys Stealer-Infektion können verheerend sein und von schwerwiegenden Datenschutzproblemen bis hin zu finanziellen Verlusten und sogar Identitätsdiebstahl reichen.

Der Rhadamanthys-Stealer nutzt Google-Werbung für legitime Produkte aus

Es wurde bestätigt, dass die Bedrohung über bedrohliche Websites verbreitet wird, die die offiziellen Seiten beliebter Softwareanwendungen nachahmen – AnyDesk, Zoom, OBS, Notepad++ und andere. Die unsicheren Seiten werden außerdem durch Anzeigen für das zugehörige Produkt beworben, die in den Google-Ergebnissen möglicherweise noch höher erscheinen als die Anzeigen und Links der legitimen Anwendungen.

Cybersicherheitsforschern gelang es, mehrere Anzeigen für die Rhadamanthys Stealer-bezogenen Websites zusätzlich zu den gelieferten Google-Ergebnissen zu beobachten, bevor das Ergebnis für den beliebten Streaming-Dienst OBS (Open Broadcasting Service) erschien. Es wird spekuliert, dass die Cyberkriminellen die Werbespots gekauft haben könnten. Um die List so lange wie möglich aufrechtzuerhalten, liefern beschädigte Websites das beworbene Produkt zusammen mit der Rhadamanthys-Bedrohung.

Es wird dringend empfohlen, dass Benutzer die URL der von ihnen geöffneten Websites sorgfältig überprüfen, um unsichere oder schädliche Nachahmer zu vermeiden. Es ist wichtig, sich daran zu erinnern, dass Cyberkriminelle oft Namen verwenden, die den offiziellen Namen sehr ähnlich sind, der einzige Unterschied ist ein kleiner Schreibfehler. Diese spezielle Technik ist als Typosquatting bekannt. Es kann auch nützlich sein, darauf hinzuweisen, dass die Verbreitung und die beschädigten Werbungen, die Rhadamanthys verbreiten, je nach Geolokalisierung des Opfers variieren.