Erbium Stealer IOCs

security IOC

Вредоносная программа Erbium - это похититель информации, распространяемый как Malware-as- a-Service (MaaS). Исследовательская группа CYFIRMA обнаружила этот бинарный файл вредоносной программы в августе 2022 года во время охоты за угрозами. Команда также заметила, что вредоносная программа-кража рекламируется на русскоязычных хакерских форумах.

Erbium Stealer

Проанализированный нами образец вредоносной программы представляет собой 32-битный исполняемый двоичный файл. Он содержит обфусцированное содержимое, чтобы избежать обнаружения продуктами безопасности и брандмауэрами. Вредоносный исполняемый файл расшифровывает обфусцированное содержимое с помощью логики XORing, после чего сбрасывает 32-битный бинарный DLL-файл Erbium stealer в папку %temp% и загружает сброшенный файл в текущий процесс с помощью вызова API LoadLibraryA. Сброшенные DLL-файлы устанавливают соединение с C2-сервером Erbium stealer. Вредоносное ПО Erbium устанавливает соединение с серверами сети доставки контента (CDN) Discord. Discord - это чат-программа, обеспечивающая общение между пользователями в режиме реального времени через Интернет, которой злоупотребляют угрожающие субъекты для доставки вредоносного ПО. Разработчики вредоносных программ для кражи информации продают эти типы вредоносных программ на подпольных форумах и продают данные о сборе урожая на подпольных форумах, а также на криминальных рынках. Филиалы Ransomware или другие угрожающие субъекты покупают такие данные и затем используют эти действительные учетные данные, VPN и т.д. в качестве начального доступа для компрометации организации.

Вредоносная программа [ErbiumStealer] обладает следующими возможностями:

  • Возможность перечисления дисков.
  • Возможность перечисления путей, файлов и папок.
  • Способность загружать в память другие библиотеки, процессы и библиотеки DLL.
  • Возможность сбора информации о системе.
  • Возможность сетевого взаимодействия.
  • Сбор учетных данных пользователя, таких как пароли, из ряда популярных чатов и почтовых программ, а также веб-браузеров.
  • Возможность получения информации от различных установленных приложений.
  • Возможность получения информации о криптовалютных кошельках [учетные данные для входа в систему и хранящиеся средства].
  • Возможность сбора данных аутентификации (2FA) и программного обеспечения для управления паролями.

Indicators of Compromise

Domains

  • panel.erbium.ml

MD5

  • 1ef9c948e6045d8d8794a89cc9545b0f
  • 6bc81580d318dc8ebf48b3555dd4c9d7

User-Agents

  • Erbium-UA-4ce7c27cb4be9d32e333bf032c88235a
SEC-1275-1
Добавить комментарий