Erbium Stealer

La menace de malware Erbium est proposée à la vente aux cybercriminels intéressés dans le cadre d'un nouveau programme Malware-as-a-Service (MaaS). La première fois que la menace a été observée sur les forums de hackers russes, c'était en juillet 2022. À l'époque, Erbium était disponible pour seulement 9 dollars par semaine, mais en raison de son adoption rapide parmi les cybercriminels et de sa popularité croissante, le prix a été augmenté à 100 dollars par mois. ou 1000 $ pour une licence d'un an quelques mois plus tard. Même après l'augmentation, Erbium est toujours proposé à seulement un tiers du prix du RedLine Stealer, le voleur le plus couramment utilisé par les cybercriminels. Les informations sur Erbium ont d'abord été partagées par les chercheurs de l'infosec de Cluster25, des détails supplémentaires étant fournis par un rapport de Cyfirma.

Capacités menaçantes

Erbium est équipé d'un vaste ensemble de fonctionnalités invasives, qui est l'une des principales raisons de son adoption massive par les pirates. La menace peut collecter des données à partir de nombreux navigateurs Web basés sur Chromium et Gecko, y compris des mots de passe, des cookies, des informations enregistrées sous forme de données de remplissage automatique, des numéros de carte de crédit/débit, etc. En outre, elle peut extraire des données de plus de 40 portefeuilles de crypto-monnaie différents installés en tant qu'extensions de navigateur. . Même les portefeuilles de bureau peuvent être compromis avec Erbium ciblant Bytecoih, Dash-Core, Electrum, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx, Exodus, Atomic et plus encore.

De plus, les pirates peuvent utiliser Erbium pour intercepter les codes 2FA (authentification à deux facteurs) pour plusieurs applications de gestion de mots de passe et d'authentification - EOS Authenticator, Authy 2FA, Authenticator 2FA et Trezor Password Manager. La menace peut être invitée à prendre des captures d'écran de tous les moniteurs connectés à l'appareil piraté, à collecter des jetons Steam/Discord et à collecter des fichiers d'authentification Telegram. Les détails du système d'exploitation et du matériel peuvent également être inclus dans les données exfiltrées.

Jusqu'à présent, des attaques utilisant l'Erbium ont été identifiées dans plusieurs pays répartis sur plusieurs continents. Des infections ont été signalées en France, en Espagne, en Italie, aux États-Unis, en Colombie, en Inde, au Vietnam et en Malaisie. Le vecteur d'infection typique commence par les victimes qui recherchent et téléchargent de faux cracks et des astuces pour les jeux vidéo populaires.