Недавно Cyble наткнулся на новый штамм вредоносного ПО под названием "Rhadamanthys Stealer". Этот вариант крадника активен, и компания TA, стоящая за крадником вредоносного ПО, продает его по модели Malware as a Service (MaaS).
Rhadamanthys stealer распространяется с помощью рекламы Google, которая перенаправляет пользователя на фишинговые сайты, имитирующие популярное программное обеспечение, такое как Zoom, AnyDesk, Notepad++, Bluestacks и др. Он также может распространяться через спам по электронной почте, содержащий вложение для доставки вредоносной полезной нагрузки.
Indicators of Compromise
Domains
- anydleslk-download.com
- bluestacks-install.com
- install-anydesk.com
- install-anydeslk.com
- install-zoom.com
- istaller-zoom.com
- noteepad.hasankahrimanoglu.com.tr
- zoom-meetings-download.com
- zoom-meetings-install.com
- zoomus-install.com
- zoomvideo-install.com
- zoom-video-install.com
SHA256
- 046981c818bd26e7c28b12b998847038e6b64c44df6645438dae689d75fb0269
- 093a58f36c075644d1dc8856acdefad7fd22332444b6aa07fee2ad615d50b743
- 4a55c833abf08ecfe4fb3a7f40d34ae5aec5850bc2d79f977c8ee5e8a6f450d4
- 4f4b5407d607ee32e00477a9f4294600ca86b67729ff4053b95744433117fccf
- db66fc58c07ba0ccbe1b9c2db770179d0d931e5bf73838da9c915581661d4c1a
- fe99a49596fc6f841b7605021da6fce7f6c817d5247d880227f790388a7cabe4