Yeni ‘Erbium’ bilgi çalan kötü amaçlı yazılım, popüler video oyunlarının kurbanların kimlik bilgilerini ve kripto para cüzdanlarını çalması için sahte crackler ve hileler olarak dağıtılıyor.
Erbium, abonelere kapsamlı işlevselliği, müşteri desteği ve rekabetçi fiyatları sayesinde siber suç topluluğunda popülerlik kazanan yeni bir bilgi çalan kötü amaçlı yazılım sağlayan yeni bir Hizmet Olarak Kötü Amaçlı Yazılımdır (MaaS).
Araştırmacılar Cluster25’in ekibi Bu ayın başlarında Erbium hakkında ilk rapor verenler oldu, ancak yeni bir rapor Onayla parola çalan truva atının nasıl dağıtıldığı hakkında daha fazla bilgi paylaşıyor.
Yeni Hizmet Olarak Kötü Amaçlı Yazılım işlemi
Erbium, Temmuz 2022’den bu yana Rusça konuşulan forumlarda tanıtılıyor, ancak vahşi doğada gerçek dağıtımı şu ana kadar belirsizdi.
Erbium başlangıçta haftada 9 dolara mal oldu, ancak popülerliği Ağustos sonunda arttığından, fiyat tam yıllık bir lisans için ayda 100 dolara veya 1000 dolara çıktı.
Sahadaki “defacto” seçenek olan RedLine hırsızı ile karşılaştırıldığında, Erbium’un maliyeti kabaca üçte biri, bu nedenle tehdit aktörleri tarafından yaygın olarak kullanılan kötü amaçlı yazılım pazarını bozmayı hedefliyor.
Diğer bilgi çalan kötü amaçlı yazılımlar gibi, Erbium da şifreler, çerezler, kredi kartları ve otomatik doldurma bilgileri gibi web tarayıcılarında (Chromium veya Gecko tabanlı) depolanan verileri çalacaktır.
Kötü amaçlı yazılım ayrıca, web tarayıcılarına uzantı olarak yüklenen çok sayıda kripto para cüzdanından veri sızdırmaya çalışır.
Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash ve Jaxx gibi soğuk masaüstü cüzdanları da çalınıyor.
Erbium ayrıca Trezor Password Manager, EOS Authenticator, Authy 2FA ve Authenticator 2FA’dan iki faktörlü kimlik doğrulama kodlarını da çalar.
Kötü amaçlı yazılım, tüm monitörlerden ekran görüntüleri alabilir, Steam ve Discord belirteçlerini kapabilir, Telegram auth dosyalarını çalabilir ve işletim sistemi ve donanıma göre ana bilgisayarın profilini çıkarabilir.
Tüm veriler yerleşik bir API sistemi aracılığıyla C2’ye aktarılırken, operatörler aşağıda gösterilen bir Erbium panosunda virüslü her ana bilgisayardan ne çalındığına dair bir genel bakış elde eder.
Kötü amaçlı yazılım, kötü amaçlı yazılım operatörlerinin yoğun bir şekilde kötüye kullandığı bir platform olan Discord’un İçerik Dağıtım Ağı (CDN) dahil olmak üzere panele bağlanmak için üç URL kullanır.
Erbium hala devam eden bir çalışma olsa da, hacker forumlarındaki kullanıcılar, yazarın çabalarını ve müşteri isteklerini dinleme istekliliğini övdü.
Küme25, ABD, Fransa, Kolombiya, İspanya, İtalya, Hindistan, Vietnam ve Malezya da dahil olmak üzere dünya çapında Erbium enfeksiyonu belirtileri bildirmiştir.
İlk Erbium kampanyası, oyun cracklerini yem olarak kullanırken, kötü amaçlı yazılımın alıcıları farklı yöntemlerle zorlamayı seçebileceğinden, dağıtım kanalları her an önemli ölçüde çeşitlenebilir.
Tehdidi sisteminizden uzak tutmak için korsan yazılım indirmekten kaçının, indirilen tüm dosyaları bir AV aracında tarayın ve mevcut en son güvenlik yamalarını yükleyerek yazılımınızı güncel tutun.