Ένα νέο malware κλοπής πληροφοριών με το όνομα “Erbium” διανέμεται σαν fake cracks και cheats για δημοφιλή video games. Τελικός στόχος του κακόβουλου λογισμικού είναι η κλοπή των credentials των θυμάτων και των cryptocurrency wallets τους.

Το Erbium ανήκει στην κατηγορία Malware-as-a-Service (MaaS) και παρέχει στους συνδρομητές ένα νέο ισχυρό κακόβουλο λογισμικό κλοπής πληροφοριών. Το τελευταίο διάστημα γίνεται όλο και πιο δημοφιλές χάρη στην εκτεταμένη λειτουργικότητά του, την υποστήριξη πελατών που παρέχει και την ανταγωνιστική τιμή.

Η ερευνητική ομάδα Cluster25 ήταν η πρώτη που έκανε αναφορά για το Erbium malware νωρίτερα αυτό το μήνα. Ωστόσο, κυκλοφορεί τώρα και μια έκθεση από την Cyfirma, η οποία δίνει περισσότερες πληροφορίες σχετικά με τον τρόπο διανομής του trojan που κλέβει κωδικούς πρόσβασης.

Δείτε επίσης: Adware: Βρέθηκαν ad-fraud apps σε Play Store και App Store

Το Erbium malware προωθείται σε ρωσόφωνα φόρουμ από τον Ιούλιο του 2022. Αρχικά κόστιζε 9 $ την εβδομάδα, αλλά από τη στιγμή που η δημοτικότητά του αυξήθηκε στα τέλη Αυγούστου, η τιμή ανέβηκε στα 100 $ το μήνα ή στα 1000 $ για άδεια χρήσης όλο το έτος.

Συγκριτικά με το RedLine stealer, ένα από τα πιο δημοφιλή malware για κλοπή πληροφοριών, το κόστος του Erbium είναι περίπου το ένα τρίτο. Η χαμηλή τιμή στοχεύει στο να προσελκύσει όσο το δυνατόν περισσότερους εγκληματίες του κυβερνοχώρου.

Όπως είπαμε και παραπάνω, το Erbium malware διαθέτει πολλές δυνατότητες που του επιτρέπουν να κλέβει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού (με Chromium ή Gecko), όπως κωδικούς πρόσβασης, cookies, στοιχεία πιστωτικών καρτών και πληροφορίες αυτόματης συμπλήρωσης. Επιπλέον, είναι σε θέση να εξάγει δεδομένα από ένα μεγάλο σύνολο crypto wallets που είναι εγκατεστημένα σε προγράμματα περιήγησης ιστού ως επεκτάσεις. Cold desktop wallets όπως τα Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash και Jaxx κινδυνεύουν επίσης.

Δείτε επίσης: Οι Anonymous χάκαραν την Εθνική Τράπεζα του Ιράν (Bank Melli)

Σύμφωνα με τους ερευνητές, το Erbium malware κλέβει επίσης κωδικούς ελέγχου ταυτότητας δύο παραγόντων από το Trezor Password Manager, το EOS Authenticator, το Authy 2FA και το Authenticator 2FA.

Το κακόβουλο λογισμικό μπορεί ακόμα να τραβήξει screenshots από όλες τις οθόνες, να κλέψει Steam και Discord tokens και Telegram auth files και να δημιουργήσει προφίλ του υπολογιστή με βάση το λειτουργικό σύστημα και το hardware.

Όλα τα δεδομένα που κλέβει το malware διοχετεύονται στο C2 μέσω ενός ενσωματωμένου συστήματος API, ενώ οι χειριστές λαμβάνουν μια επισκόπηση του τι έχει κλαπεί από κάθε μολυσμένο κεντρικό υπολογιστή σε έναν πίνακα εργαλείων Erbium.

Το κακόβουλο λογισμικό χρησιμοποιεί τρεις διευθύνσεις URL για τη σύνδεση στον πίνακα, συμπεριλαμβανομένου του Content Delivery Network (CDN) του Discord, μιας πλατφόρμας που οι χειριστές κακόβουλου λογισμικού έχουν καταχραστεί σε μεγάλο βαθμό.

Αξίζει να σημειωθεί ότι το malware εξελίσσεται συνεχώς και αποκτά νέες δυνατότητες.

Η ερευνητική ομάδα Cluster25 έχει εντοπίσει θύματα σε πολλές χώρες, συμπεριλαμβανομένων των ΗΠΑ, της Γαλλίας, της Κολομβίας, της Ισπανίας, της Ιταλίας, της Ινδίας, του Βιετνάμ και της Μαλαισίας.

Δείτε επίσης: Αρχεία PowerPoint παραδίδουν κακόβουλο λογισμικό με το ποντίκι

Όπως είπαμε και παραπάνω, το Erbium malware χρησιμοποιεί game cracks για να δελεάσει τα θύματα και να μολύνει τα συστήματά τους, αλλά μπορεί να υπάρξουν και άλλες μέθοδοι διανομής, καθώς οι αγοραστές του κακόβουλου λογισμικού μπορεί να επιλέξουν να το προωθήσουν με διαφορετικούς τρόπους.

Περισσότερες λεπτομέρειες για τον τρόπο λειτουργίας του malware, μπορείτε να βρείτε στην έκθεση της Cyfirma.

Για να παραμείνετε ασφαλείς από απειλές σαν το Erbium, πρέπει να αποφεύγετε τη λήψη πειρατικού λογισμικού, όπως game cracks, cheats και άλλα σχετικά και να σαρώνετε όλα τα ληφθέντα αρχεία με ένα εργαλείο AV. Τέλος, όπως πάντα, είναι πολύ σημαντικό να γίνεται τακτική ενημέρωση όλων των συστημάτων, λογισμικών και εφαρμογών.

Πηγή: www.bleepingcomputer.com