Erbium Stealer

Η απειλή κακόβουλου λογισμικού Erbium προσφέρεται προς πώληση σε ενδιαφερόμενους εγκληματίες του κυβερνοχώρου στο πλαίσιο ενός νέου συστήματος Malware-as-a-Service (MaaS). Η πρώτη απειλή που παρατηρήθηκε ότι προωθήθηκε σε ρωσικά φόρουμ χάκερ ήταν τον Ιούλιο του 2022. Τότε, το Erbium ήταν διαθέσιμο με μόλις 9 $ την εβδομάδα, αλλά λόγω της γρήγορης υιοθέτησής του μεταξύ των εγκληματιών του κυβερνοχώρου και της αύξησης της δημοτικότητας, η τιμή αυξήθηκε στα 100 $ το μήνα ή 1000 $ για μια άδεια ενός έτους μόλις λίγους μήνες αργότερα. Ακόμη και μετά την αύξηση, το Erbium εξακολουθεί να προσφέρεται μόνο στο ένα τρίτο της τιμής του RedLine Stealer, του πιο συχνά χρησιμοποιούμενου κλέφτη μεταξύ των εγκληματιών του κυβερνοχώρου. Πληροφορίες σχετικά με το Erbium κοινοποιήθηκαν για πρώτη φορά από τους ερευνητές του infosec στο Cluster25, ενώ πρόσθετες λεπτομέρειες παρέχονται από έκθεση της Cyfirma.

Απειλητικές Ικανότητες

Το Erbium είναι εξοπλισμένο με ένα εκτεταμένο σύνολο επεμβατικών χαρακτηριστικών, κάτι που είναι ένας από τους κύριους λόγους για την αύξηση της υιοθέτησής του από τους χάκερ. Η απειλή μπορεί να συλλέξει δεδομένα από πολλά προγράμματα περιήγησης Ιστού που βασίζονται σε Chromium και Gecko, συμπεριλαμβανομένων κωδικών πρόσβασης, cookie, πληροφοριών που έχουν αποθηκευτεί ως δεδομένα αυτόματης συμπλήρωσης, αριθμούς πιστωτικών/χρεωστικών καρτών κ.λπ. Επιπλέον, μπορεί να εξάγει δεδομένα από περισσότερα από 40 διαφορετικά πορτοφόλια κρυπτονομισμάτων που είναι εγκατεστημένα ως επεκτάσεις προγράμματος περιήγησης . Ακόμη και τα πορτοφόλια επιτραπέζιων υπολογιστών μπορούν να τεθούν σε κίνδυνο με το Erbium που στοχεύει τα Bytecoih, Dash-Core, Electrum, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx, Exodus, Atomic και άλλα.

Επιπλέον, οι φορείς απειλών μπορούν να χρησιμοποιήσουν το Erbium για να υποκλέψουν κωδικούς 2FA (Two-Factor Authentication) για πολλές εφαρμογές διαχείρισης κωδικών πρόσβασης και ελέγχου ταυτότητας - EOS Authenticator, Authy 2FA, Authenticator 2FA και Trezor Password Manager. Η απειλή μπορεί να λάβει οδηγίες για λήψη στιγμιότυπων οθόνης από όλες τις οθόνες που είναι συνδεδεμένες στη συσκευή που έχει παραβιαστεί, συλλέγει διακριτικά Steam/Discord και συλλέγει αρχεία ελέγχου ταυτότητας Telegram. Λεπτομέρειες λειτουργικού συστήματος και υλικού μπορεί επίσης να περιλαμβάνονται στα δεδομένα που έχουν εξαχθεί.

Μέχρι στιγμής, επιθέσεις που αναπτύσσουν το Erbium έχουν εντοπιστεί σε πολλές χώρες που έχουν εξαπλωθεί σε πολλές ηπείρους. Μολύνσεις έχουν αναφερθεί στη Γαλλία, την Ισπανία, την Ιταλία, τις ΗΠΑ, την Κολομβία, την Ινδία, το Βιετνάμ και τη Μαλαισία. Ο τυπικός φορέας μόλυνσης ξεκινά με τα θύματα να αναζητούν και να κατεβάζουν ψεύτικα σπασίματα και cheat για δημοφιλή βιντεοπαιχνίδια.