نفوذ بدافزار سارق اطلاعات به ویندوز از طریق تبلیغات گوگل

به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتا، بدافزار Rhadamanthys بلافاصله پس از نصب، شروع به جمع‌آوری اطلاعات سیستم قربانی و یا اطلاعات حیاتی سازمان‌ها می‌کند که از جمله آن‌ها می‌توان نام دستگاه، مدل، نسخه سیستم‌عامل، معماری سیستم‌عامل، جزئیات سخت‌افزار، نرم‌افزار نصب‌شده، آدرس IP را نام برد.

این بدافزار با تکنیک Hijacks Google Ads از نرم‌افزار‌های مجاز برای انتشار خود، سوء استفاده می‌کند و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد.

هنگام دانلود برنامه به‌ظاهر مجاز، یک نصب کننده نیز دانلود می‌شود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب می‌کند.

هدف این بدافزار سیستم‌های ویندوزی بوده و قادر به اجرای برخی از دستورات PowerShell است.

بدافزار Rhadamanthys برنامه‌های مختلفی ازجمله FTP Client، برنامه‌های مدیریت فایل و رمزعبور، Email Client، VPN، پیام‌رسان‌ها و دیگر برنامه‌ها را نیز برای سرقت اطلاعات هدف قرار داده است.

مهاجمان سایبری با استفاده از این بدافزار مرورگر‌های مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمع‌آوری اطلاعاتی نظیر کوکی‌ها، اعتبارنامه‌ها، دانلود‌های انجام‌شده و افزونه‌ها هدف قرار می‌دهند.

بدافزار Rhadamanthys علاوه بر موارد گفته شده، کیف پول ارز‌های دیجیتال را هدف قرار می‌دهد و تلاش می‌کند رمز‌های عبور قربانیان را استخراج کند.

بدافزار جدید Rhadamanthys Stealer با نام به زبان C++ نوشته‌شده است و از طریق ایمیل‌های اسپم حاوی پیوست مخرب و یا تبلیغات گوگل در صفحات مخرب منتشر می‌شود که کاربر را به سایت‌های فیشینگ نرم‌افزار‌های محبوبی مانند Bluestacks، Notepad++، AnyDesk، Zoom هدایت می‌کند.

متخصصان، کارشناسان و مدیران حوزه IT سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی می‌توانند خبر فنی و تخصصی چگونگی نفوذ و عملکرد بدافزار Rhadamanthys را در بخش تهدیدات بدافزاری سایت مرکز مدیریت راهبردی افتا در آدرس: /https://afta.gov.ir/fa-IR/Portal/۴۹۲۵/news/view/۱۴۵۹۸/۲۳۷۲ مطالعه کنند.