Adamantium Stealer

Badacze infosec wykryli nową kampanię ataku na rosyjskich użytkowników i dostarczającą potężnego złodzieja adamantytu. Początkowy wektor ataku to uzbrojony obraz skanowania o nazwie „scan-100218.docm”. Plik wygląda tak, jakby był wysyłany przez państwowy rosyjski bank SberBank. Użytkownicy podstępowi w interakcję z plikiem uruchamiają niestandardowy program ładujący VBS. Następnym krokiem jest wykonanie łańcucha skryptów PowerShell, który ostatecznie upuszcza Adamantium Stealer na zaatakowany system.

To zagrożenie ze strony kradzieży informacji ma na celu wyodrębnienie poufnych danych prywatnych z przeglądarek internetowych opartych na Chromium. Pełna lista celów obejmuje 22 różne przeglądarki - Google Chrome,

Opera, Chromium, Vivaldi, Brave-Browser, Epic Privacy Browser, Atom, Amigo, Orbitum, Kometa, Yandex (starsze wersje), Comodo Dragon, Torch, Slimjet, 360Browser, Sputnik, Maxthon3, K-Melon, Nichrome, CocCoc Browser, Uran i Chromodo.

Złośliwe oprogramowanie Adamantium Stealer może uzyskiwać dostęp, gromadzić, a następnie eksfiltrować różne wrażliwe i poufne dane użytkownika, które zostały zapisane w przeglądarce. Hasła do kont, dane kart kredytowych / debetowych, historia przeglądania, zakładki, pliki cookie witryny mogą zostać naruszone. Ponadto wszystkie dane autouzupełniania mogą być również gromadzone i eksportowane.

Zakres potencjalnie zagrożonych informacji naraża użytkownika na różne zagrożenia bezpieczeństwa. Atakujący mogą zaplanować bardziej ukierunkowany atak typu spear-phishing, wykorzystać zebrane dane uwierzytelniające do eskalacji zasięgu i przejąć dodatkowe konta, dokonywać nielegalnych zakupów i nie tylko.