Rhadamanthys Stealer
Un software amenazante conocido como Rhadamanthys se aprovecha de los anuncios de Google para engañar a las víctimas para que infecten sus computadoras sin saberlo. Theas Rhadamanthys Stealer es capaz de recopilar información confidencial, incluidas contraseñas, direcciones de correo electrónico y credenciales de billetera de criptomonedas. Los ladrones de información se han vuelto cada vez más populares entre los ciberdelincuentes debido a su capacidad para ser utilizados en varias operaciones de ataque diferentes. Rhadamanthys se ofrece a la venta a otros ciberdelincuentes o grupos de hackers a través de un esquema MaaS (Malware-as-a-Service).
Las capacidades amenazantes del ladrón de Rhadamanthys
Una vez que Rhadamanthys se ejecuta en el dispositivo de la víctima, comenzará a funcionar recopilando numerosos detalles del sistema: nombre del dispositivo, modelo, sistema operativo, arquitectura del sistema operativo, detalles del hardware, software instalado, direcciones IP y credenciales de usuario. La amenaza también es capaz de ejecutar comandos específicos de PowerShell. Los atacantes también podrían utilizar Rhadamanthys para obtener archivos de documentos específicos que contengan información potencialmente confidencial. Rhadamanthys Stealer también es capaz de extraer contraseñas para billeteras de criptomonedas. Si las credenciales de la billetera se ven comprometidas con éxito, los actores de la amenaza podrían desviar los fondos encontrados en ellas a sus propias billeteras criptográficas. En resumen, las consecuencias de una infección por Rhadamanthys Stealer podrían ser devastadoras, desde graves problemas de privacidad hasta pérdidas financieras e incluso el robo de identidad.
El ladrón de Rhadamanthys aprovecha los anuncios de Google para obtener productos legítimos
Se ha confirmado que la amenaza se propaga a través de sitios web amenazantes que imitan las páginas oficiales de aplicaciones de software populares: AnyDesk, Zoom, OBS, Notepad++ y otras. Las páginas no seguras se promocionan aún más a través de anuncios del producto asociado que pueden aparecer incluso más arriba en los resultados de Google que los anuncios y enlaces de las aplicaciones legítimas.
Los investigadores de seguridad cibernética lograron observar varios anuncios de los sitios web relacionados con Rhadamanthys Stealer además de los resultados entregados por Google antes de que apareciera el resultado del popular servicio de transmisión OBS (Open Broadcasting Service). Se especula que los ciberdelincuentes pueden haber comprado los espacios publicitarios. Para mantener el engaño el mayor tiempo posible, los sitios web corruptos entregan el producto anunciado junto con la amenaza Rhadamanthys.
Se recomienda enfáticamente que los usuarios verifiquen cuidadosamente la URL de los sitios que abren para evitar imitaciones inseguras o dañinas. Es fundamental recordar que los ciberdelincuentes suelen utilizar nombres muy similares a los oficiales, con la única diferencia de una ligera falta de ortografía. Esta técnica en particular se conoce como typosquatting. También puede ser útil señalar que la prevalencia y los anuncios corruptos que difunden Rhadamanthys varían según la geolocalización de la víctima.
