Adamantium Stealer

Een nieuwe aanvalscampagne gericht op Russische gebruikers en het leveren van de krachtige Adamantium Stealer is ontdekt door infosec-onderzoekers. De eerste aanvalsvector is een bewapende scanafbeelding met de naam 'scan-100218.docm'. Het bestand is zo gemaakt dat het lijkt alsof het wordt verzonden door de Russische staatsbank SberBank. Gebruikers die worden misleid tot interactie met het bestand, zullen een aangepaste VBS-lader activeren. De volgende stap is de uitvoering van een PowerShell-scriptketen die uiteindelijk de Adamantium Stealer op het gecompromitteerde systeem laat vallen.

Deze infostealer-bedreiging is ontworpen om gevoelige privégegevens te extraheren uit op Chromium gebaseerde webbrowsers. De volledige lijst met doelen omvat 22 verschillende browsers: Google Chrome,

Opera, Chromium, Vivaldi, Brave-Browser, Epic Privacy Browser, Atom, Amigo, Orbitum, Kometa, Yandex (oudere versies), Comodo Dragon, Torch, Slimjet, 360Browser, Sputnik, Maxthon3, K-Melon, Nichrome, CocCoc Browser, Uran en Chromodo.

De Adamantium Stealer-malware kan verschillende gevoelige en vertrouwelijke gebruikersgegevens die in de browser zijn opgeslagen, openen, verzamelen en vervolgens exfiltreren. Accountwachtwoorden, creditcard- / betaalpasgegevens, browsegeschiedenis, bladwijzers en sitecookies kunnen allemaal worden geschonden. Bovendien kunnen alle gegevens voor automatisch aanvullen ook worden verzameld en geëxporteerd.

De breedte van mogelijk gecompromitteerde informatie stelt de gebruiker bloot aan verschillende beveiligingsrisico's. De aanvallers kunnen een meer gerichte spear-phishing-aanval plannen, de verzamelde inloggegevens gebruiken om hun bereik te vergroten en extra accounts overnemen, illegale aankopen doen en meer.