Erbium Stealer

Zagrożenie złośliwym oprogramowaniem Erbium jest oferowane do sprzedaży zainteresowanym cyberprzestępcom w nowym schemacie Malware-as-a-Service (MaaS). Najwcześniej zagrożenie to było promowane na rosyjskich forach hakerskich w lipcu 2022 roku. lub 1000 USD za roczną licencję zaledwie kilka miesięcy później. Nawet po podwyżce Erbium nadal jest oferowane za zaledwie jedną trzecią ceny RedLine Stealer, najczęściej używanego złodzieja wśród cyberprzestępców. Informacje o Erbium zostały po raz pierwszy udostępnione przez badaczy infosec z Cluster25, a dodatkowe szczegóły dostarczył raport Cyfirmy.

Zdolności grożące

Erbium jest wyposażony w rozległy zestaw inwazyjnych funkcji, co jest jednym z głównych powodów jego gwałtownego wzrostu popularności wśród hakerów. Zagrożenie może zbierać dane z wielu przeglądarek internetowych opartych na Chromium i Gecko, w tym hasła, pliki cookie, informacje zapisane jako dane autouzupełniania, numery kart kredytowych/debetowych itp. Ponadto może wydobywać dane z ponad 40 różnych portfeli kryptowalut zainstalowanych jako rozszerzenia przeglądarki . Nawet portfele komputerowe mogą być zagrożone, gdy Erbium atakuje Bytecoih, Dash-Core, Electrum, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx, Exodus, Atomic i inne.

Ponadto cyberprzestępcy mogą używać Erbium do przechwytywania kodów 2FA (Two-Factor Authentication) dla kilku aplikacji do zarządzania hasłami i uwierzytelniania — EOS Authenticator, Authy 2FA, Authenticator 2FA i Trezor Password Manager. Zagrożenie może zostać poinstruowane, aby robiło zrzuty ekranu ze wszystkich monitorów podłączonych do naruszonego urządzenia, zbierało tokeny Steam/Discord i zbierało pliki uwierzytelniania Telegram. Dane dotyczące systemu operacyjnego i sprzętu również mogą być zawarte w eksfiltrowanych danych.

Do tej pory ataki wykorzystujące erb zostały zidentyfikowane w wielu krajach na kilku kontynentach. Zakażenia zgłoszono we Francji, Hiszpanii, Włoszech, USA, Kolumbii, Indiach, Wietnamie i Malezji. Typowy wektor infekcji zaczyna się od tego, że ofiary szukają i pobierają fałszywe cracki i kody do popularnych gier wideo.