Erbium Stealer

La amenaza de malware Erbium se ofrece a la venta a los ciberdelincuentes interesados en un nuevo esquema de Malware-as-a-Service (MaaS). Lo más temprano que se observó que la amenaza se promocionaba en los foros de piratas informáticos rusos fue en julio de 2022. En ese entonces, Erbium estaba disponible por solo $ 9 por semana, pero debido a su rápida adopción entre los ciberdelincuentes y al aumento de su popularidad, el precio se incrementó a $ 100 por mes. o $ 1000 por una licencia de un año solo unos meses después. Incluso después del aumento, Erbium todavía se ofrece a solo un tercio del precio de RedLine Stealer, el ladrón más utilizado entre los ciberdelincuentes. La información sobre Erbium fue compartida por primera vez por los investigadores de infosec en Cluster25 con detalles adicionales proporcionados por un informe de Cyfirma.

Capacidades amenazantes

Erbium está equipado con un amplio conjunto de características invasivas, que es una de las principales razones de su adopción entre los piratas informáticos. La amenaza puede recopilar datos de numerosos navegadores web basados en Chromium y Gecko, incluidas contraseñas, cookies, información guardada como datos de autocompletado, números de tarjetas de crédito/débito, etc. Además, puede extraer datos de más de 40 billeteras de criptomonedas diferentes instaladas como extensiones del navegador. . Incluso las billeteras de escritorio pueden verse comprometidas con Erbium dirigido a Bytecoih, Dash-Core, Electrum, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx, Exodus, Atomic y más.

Además, los actores de amenazas pueden usar Erbium para interceptar códigos 2FA (autenticación de dos factores) para varias aplicaciones de autenticación y administrador de contraseñas: EOS Authenticator, Authy 2FA, Authenticator 2FA y Trezor Password Manager. Se puede indicar a la amenaza que tome capturas de pantalla de todos los monitores conectados al dispositivo violado, recopile tokens de Steam/Discord y recolecte archivos de autenticación de Telegram. Los detalles del sistema operativo y del hardware también pueden incluirse en los datos extraídos.

Hasta ahora, se han identificado ataques que despliegan Erbium en varios países repartidos por varios continentes. Se han informado infecciones en Francia, España, Italia, EE. UU., Colombia, India, Vietnam y Malasia. El vector de infección típico comienza cuando las víctimas buscan y descargan cracks y trucos falsos para videojuegos populares.