Вредоносная программа Erbium - это похититель информации, распространяемый как Malware-as- a-Service (MaaS). Исследовательская группа CYFIRMA обнаружила этот бинарный файл вредоносной программы в августе 2022 года во время охоты за угрозами. Команда также заметила, что вредоносная программа-кража рекламируется на русскоязычных хакерских форумах.
Erbium Stealer
Проанализированный нами образец вредоносной программы представляет собой 32-битный исполняемый двоичный файл. Он содержит обфусцированное содержимое, чтобы избежать обнаружения продуктами безопасности и брандмауэрами. Вредоносный исполняемый файл расшифровывает обфусцированное содержимое с помощью логики XORing, после чего сбрасывает 32-битный бинарный DLL-файл Erbium stealer в папку %temp% и загружает сброшенный файл в текущий процесс с помощью вызова API LoadLibraryA. Сброшенные DLL-файлы устанавливают соединение с C2-сервером Erbium stealer. Вредоносное ПО Erbium устанавливает соединение с серверами сети доставки контента (CDN) Discord. Discord - это чат-программа, обеспечивающая общение между пользователями в режиме реального времени через Интернет, которой злоупотребляют угрожающие субъекты для доставки вредоносного ПО. Разработчики вредоносных программ для кражи информации продают эти типы вредоносных программ на подпольных форумах и продают данные о сборе урожая на подпольных форумах, а также на криминальных рынках. Филиалы Ransomware или другие угрожающие субъекты покупают такие данные и затем используют эти действительные учетные данные, VPN и т.д. в качестве начального доступа для компрометации организации.
Вредоносная программа [ErbiumStealer] обладает следующими возможностями:
- Возможность перечисления дисков.
- Возможность перечисления путей, файлов и папок.
- Способность загружать в память другие библиотеки, процессы и библиотеки DLL.
- Возможность сбора информации о системе.
- Возможность сетевого взаимодействия.
- Сбор учетных данных пользователя, таких как пароли, из ряда популярных чатов и почтовых программ, а также веб-браузеров.
- Возможность получения информации от различных установленных приложений.
- Возможность получения информации о криптовалютных кошельках [учетные данные для входа в систему и хранящиеся средства].
- Возможность сбора данных аутентификации (2FA) и программного обеспечения для управления паролями.
Indicators of Compromise
Domains
- panel.erbium.ml
MD5
- 1ef9c948e6045d8d8794a89cc9545b0f
- 6bc81580d318dc8ebf48b3555dd4c9d7
User-Agents
- Erbium-UA-4ce7c27cb4be9d32e333bf032c88235a