В интернете появилось опасное вредоносное ПО под названием Erbium. Это инструмент для кражи личных данных, который нацелен на ваши пароли, данные банковских карт, куки, криптовалютные кошельки и, возможно, многое другое. Из-за быстрого распространения и широкой доступности в будущем он может быть адаптирован для заражения компьютеров новыми способами и похищения других данных.

Зловред в основном распространяют через пиратские игры и читы/кряки для игр. Вредоносное ПО выдает себя за взломанные программы или игры, и люди сами скачивают его через бесплатный файлообменник, например, торрент. Также его распространяют через целевой фишинг, ссылки в имейлах, вредоносную рекламу, наборы эксплойтов и даже сами загрузчики вредоносных программ. Вариантов его проникновения на компьютер уже тысячи. Одной из причин быстрого распространения зловреда является то, что Erbium — это так называемое «вредоносное ПО как услуга» (MaaS), то есть по сути любой может начать рассылать вирус, платя его разработчикам по подписке.

В этом ещё одна особенность вредоноса — у него даже есть реферальная система и служба поддержки клиентов, отвечающая на вопросы юных и не очень хакеров. Подписка, открывающая доступ к панели управления малварью, изначально стоила всего 9 долларов в неделю (точнее, 500 рублей). Но ее растущая популярность привела к тому, что цена выросла до 100 долларов в месяц.

Бизнес построен на массовости, и там даже есть скидка, позволяющая подписаться на целый год за 1000 долларов. Это намного дешевле, чем «подписка» на другие похожие вирусы, вроде RedLine, что способствует быстрому распространению этого эксплойта. За деньги подписчики Erbium получают обновления, поддержку клиентов и вредоносное ПО с полным набором инструментов. За счет обилия функций, низких цен и «клиентоориентированности» — гадость быстро набирает популярность в хакерском сообществе. 

Стоит ли бояться?

Первоначально зловред был обнаружен на форумах в дарк вебе компанией Cyfirma, занимающейся поиском угроз и киберразведкой. По ее словам, Erbium впервые был выложен русскоязычным пользователем в конце июля и уже тогда умел собирать данные большинства современных популярных браузеров, получая пароли, файлы cookie и информации о кредитных картах. По словам создателей, они разрабатывали Erbium несколько месяцев. За прошедшее с момента релиза время зловред получил несколько обновлений и стал более опасным.

В дальнейшем код малваря также глубоко проанализировала DuskRise, занимающаяся кибербезопасностью удаленных сотрудников. Тут у них можно почитать о том, как совершается атака, какие процессы затрагиваются, что находится под угрозой, как потом происходит сбор ворованной информации и так далее.

По их словам, Erbium может атаковать пользователей криптовалюты, похищая данные из цифровых кошельков пользователей — как холодных, так и работающих через расширение для браузера. Малварь взламывает учетные записи Exodus, Atomic, Bytecoin, Ethereum и десятков других кошельков. Известно, что он умеет получать коды двухфакторной аутентификации из нескольких менеджеров 2FA и паролей.

Похищаются также все данные браузера, такие как логины, файлы cookie, история и информация о кошельках, данные из плагинов. Воруется информация из Steam, Discord, FTP-клиентов, Telegram и холодных кошельков на рабочем столе. Вредоносная программа также умеет делать скриншоты.

После того, как данные были украдены, они передаются злоумышленникам по всему миру через встроенную систему API, а операторы видят обзор того, что было найдено на каждом зараженном хосте, на панели инструментов Erbium.

Зловред использует три URL-адреса для подключения к этой панели, включая сеть доставки контента (CDN) Discord, которой операторы вредоносного ПО вообще очень активно злоупотребляют. 

Как избежать заражения

Лучший и наиболее эффективный способ избежать такого вредоносного ПО — понятно, не скачивать нелегально взломанные игры, кряки и разных ботов. Пока что зловред проникает в системы жертв в основном через запуски файлов с торрентов и файлообменников. Другой способ — убедиться, что у вас есть хороший антивирус, и он обновлен (первые патчи от Erbium обещают уже на днях). Также рекомендуется провести профилактическое сканирование компьютера на наличие вирусов и вредоносных программ, чтобы убедиться, что в последние дни ничего нового не занеслось.

Даже если вы ничего с торрентов не скачивали и не запускали, расслабляться не стоит. Скорее всего, малварь станут распространять и через другие методы, если они уже не начали. С ним работают уже несколько тысяч злоумышленников, явление довольно массовое. По данным DuskRise, зловред успели засечь при многочисленных атаках на цели, расположенные в США, Колумбии, Франции, Индии, Италии, Малайзии, Ливане, Португалии, Румынии, Испании, Турции и Вьетнаме.

Промокод для читателей нашего блога! Самые безопасные и надежные сервера!

— 15% на все тарифы VDS (кроме тарифа Прогрев) — по промокоду HabrFIRSTVDS.

50 тысяч активных серверов и 10 тысяч клиентов, которые с нами больше 5 лет.