情報を盗む新しいマルウェア「Erbium」は、人気のあるビデオ ゲームの偽のクラックやチートとして配布され、被害者の資格情報や暗号通貨のウォレットを盗みます。
Erbium は新しい Malware-as-a-Service (MaaS) であり、加入者に情報を盗む新しいマルウェアを提供します。このマルウェアは、その広範な機能、カスタマー サポート、および競争力のある価格のおかげで、サイバー犯罪コミュニティで人気を集めています。
Cluster25 のチームの研究者は、今月初めに Erbium について最初に報告しましたが、 Cyfirmaによる新しいレポートでは、パスワードを盗むトロイの木馬がどのように配布されているかについて、さらに詳しい情報が共有されています。
新しい Malware-as-a-Service 操作
エルビウムは 2022 年 7 月以降、ロシア語圏のフォーラムで宣伝されていますが、実際に実際に展開されているかどうかは今のところ不明です。
エルビウムは当初週 9 ドルでしたが、8 月下旬に人気が高まったため、月額 100 ドル、通年ライセンスで 1000 ドルに値上がりしました。
この分野での「事実上の」選択である RedLine スティーラーと比較して、Erbium のコストは約 3 分の 1 であるため、攻撃者が一般的に使用するマルウェアの市場を混乱させることを目指しています。
他の情報を盗むマルウェアと同様に、Erbium は Web ブラウザー (Chromium または Gecko ベース) に保存されているパスワード、Cookie、クレジット カード、自動入力情報などのデータを盗みます。
このマルウェアは、Web ブラウザーに拡張機能としてインストールされた多数の仮想通貨ウォレットからデータを盗もうとします。
Exodus、Atomic、Armory、Bitecoin-Core、Bytecoin、Dash-Core、Electrum、Electron、Coinomi、Ethereum、Litecoin-Core、Monero-Core、Zcash、Jaxx などのコールド デスクトップ ウォレットも盗まれています。
Erbium はまた、Trezor Password Manager、EOS Authenticator、Authy 2FA、Authenticator 2FA から 2 要素認証コードを盗みます。
このマルウェアは、すべてのモニターからスクリーンショットを取得し、Steam と Discord のトークンを取得し、Telegram 認証ファイルを盗み、OS とハードウェアに基づいてホストをプロファイリングします。
すべてのデータは、組み込みの API システムを介して C2 に盗み出されますが、オペレーターは、感染した各ホストから盗まれた内容の概要を、以下に示すエルビウム ダッシュボードで確認します。
このマルウェアは、パネルへの接続に 3 つの URL を使用します。これには、マルウェア オペレーターがひどく悪用したプラットフォームである Discord のコンテンツ配信ネットワーク (CDN) が含まれます。
エルビウムはまだ進行中の作業ですが、ハッカー フォーラムのユーザーは、作成者の努力とクライアントの要求に耳を傾ける意欲を称賛しています。
Cluster25 は、米国、フランス、コロンビア、スペイン、イタリア、インド、ベトナム、マレーシアなど、世界中でエルビウム感染の兆候を報告しました。
最初の Erbium キャンペーンはゲームのクラックをルアーとして使用しますが、マルウェアの購入者がさまざまな方法でプッシュすることを選択する可能性があるため、配布チャネルはいつでも大幅に多様化する可能性があります。
脅威をシステムから遠ざけるには、海賊版ソフトウェアのダウンロードを避け、ダウンロードしたすべてのファイルを AV ツールでスキャンし、入手可能な最新のセキュリティ パッチをインストールしてソフトウェアを最新の状態に保ちます。
Comments