Adamantium Stealer

Une nouvelle campagne d'attaque ciblant les utilisateurs basés en Russie et livrant le puissant Adamantium Stealer a été détectée par les chercheurs d'Infosec. Le vecteur d'attaque initial est une image numérisée armée nommée «scan-100218.docm». Le fichier est conçu pour apparaître comme s'il était envoyé par la banque publique russe SberBank. Les utilisateurs amenés à interagir avec le fichier déclencheront un chargeur VBS personnalisé. L'étape suivante consiste à exécuter une chaîne de scripts PowerShell qui abandonne finalement Adamantium Stealer sur le système compromis.

Cette menace infostealer est conçue pour extraire des données privées sensibles des navigateurs Web basés sur Chromium. La liste complète des cibles comprend 22 navigateurs différents - Google Chrome,

Opera, Chromium, Vivaldi, Brave-Browser, Epic Privacy Browser, Atom, Amigo, Orbitum, Kometa, Yandex (anciennes versions), Comodo Dragon, Torch, Slimjet, 360Browser, Sputnik, Maxthon3, K-Melon, Nichrome, CocCoc Browser, Uran et Chromodo.

Le malware Adamantium Stealer peut accéder, collecter, puis exfiltrer diverses données utilisateur sensibles et confidentielles qui ont été enregistrées dans le navigateur. Les mots de passe du compte, les détails de la carte de crédit / débit, l'historique de navigation, les signets, les cookies du site peuvent tous être violés. En outre, toutes les données de saisie automatique peuvent également être collectées et exportées.

L'ampleur des informations potentiellement compromises expose l'utilisateur à divers risques de sécurité. Les attaquants peuvent planifier une attaque de spear-phishing plus ciblée, utiliser les informations d'identification récoltées pour augmenter leur portée et prendre en charge des comptes supplémentaires, effectuer des achats illicites, etc.