Google広告で来るRhadamanthys

Rhadamanthysはインフォスティーラーです。
感染環境の情報を抜き取ります。
どんなふうに動くのでしょう。

• 検索結果の上のほうに出る
  RhadamanthysはGoogle広告を使用します。
  有名なアプリケーションのサイトを模倣したサイトを作成し、これをGoogle広告を使用して検索結果の上のほうに出てくるようにします。
  確認されている有名なアプリケーションは、Zoom、AnyDesk、Notepad++、Bluestacksなどです。
• アプリケーションをダウンロードする
  アプリケーションのダウンロードサイトの訪問者はそのアプリケーションを利用したい人です。
  そのサイトでアプリケーションのファイルをダウンロードするのは自然なことです。
• アプリケーションをインストールする
  アプリケーションのファイルをダウンロードした人はそれを実行してアプリケーションをインストールします。
  訪問したサイトが正規のもので、ダウンロードしたものが正規のファイルであれば、目的のアプリケーションのみがインストールされることでしょう。
  しかし訪問したサイトがフィッシングサイトで、ダウンロードしたものがマルウェアの場合、目的のアプリケーションに加えてマルウェアが展開されます。
• 機器の情報を収集
  マルウェアが動作を開始すると、その環境の情報を収集します。
  デバイス名、モデル、オペレーティング システムのバージョン、OS アーキテクチャ、ハードウェアの詳細、インストールされているソフトウェア、IPアドレスなどさまざまな情報を収集します。
  これらはWindows Management Instrumentation (WMI) クエリを使用して実行されます。
  さらに暗号資産のウォレットの番号とパスワードも取得しようとします。

RhadamanthysはPythonで実装されています。
そしてそれをバイナリ化した形式で配布されます。
Pythonのコードが感染環境で動作し、Windows用に作成されたシェルコードをプロセスに差し込みます。
この機構には仮想環境での実行を検出して実行を取りやめる機能も搭載されています。

この脅威はGoogle広告のほかに、スパムメールで始まる拡散パターンも確認されています。

海賊版などに手を出さないということはもちろんですが、ソフトウェアを入手する際にはその提供場所が本家であることをよく確認するということが必要ということですね。

参考記事（外部リンク）：Removal instructions for the Rhadamanthys stealer-type malware
www.pcrisk.com/removal-guides/25643-rhadamanthys-stealer