Giả mạo phần mềm crack, mã độc đánh cắp mật khẩu Erbium lây lan nhanh, đe dọa cả Việt Nam

Thị trường mã độc cho thuê (Malware-as-a-Services - MaaS) vừa có thêm một thành viên mới cực kỳ đáng gờm. Được đặt tên là Erbium, mã độc mới này đang được phát tán mạnh mẽ dưới dạng phần mềm crack giả mạo hoặc tool cheat game giả mạo. Sau khi lây nhiễm thành công, nó sẽ đánh cắp thông tin đăng nhập và ví tiền điện tử của nạn nhân.

Trên thị trường MaaS, Erbium vừa mới xuất hiện nhưng rất được ưa chuộng và phổ biến nhanh chóng nhờ khả năng mở rộng chức năng, hỗ trợ khách hàng nhiệt tình và giá cả cạnh tranh.

Các nhà nghiên cứu bảo mật thuộc team Cluster25 là những người đầu tiên báo cáo về Erbium. Tuy nhiên, một báo cáo mới hơn của Cyfirma chia sẻ thêm nhiều thông tin về cách phát tán của mã độc này.

Mã độc MaaS mới

Erbium được quảng bá trên các diễn đàn hacker sử dụng tiếng Nga từ tháng 7/2022 nhưng mới chỉ được phát tán rộng rãi trong thời gian gần đây.

Ban đầu, Erbium có giá 9 USD/tuần nhưng khi mức độ phổ biến tăng lên đáng kể, hồi cuối tháng 8 mức giá của nó đã được tăng lên 100 USD/tháng hoặc 1000 USD/năm.

So với lựa chọn đang được ưa chuộng khác là RedLine, giá của Erbium chỉ bằng một phần ba. Do vậy, mã độc này đang phá giá thị trường MaaS.

Giống như các loại mã độc đánh cắp thông tin khác, Erbium sẽ lấy cắp dữ liệu được lưu trong trình duyệt web (nhân Chromium hoặc Gecko), chẳng hạn như mật khẩu, cookie, thông tin thẻ tín dụng và các thông tin tự động điền khác.

Mã độc này cũng cố lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình duyệt dưới dạng tiện ích mở rộng.

Các ví tiền điện tử dạng ví lạnh như Exodus, Atomic, Armoury, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash và Jaxx cũng bị đánh cắp.

Erbium cũng đánh cắp mã xác thực hai yếu tố từ Trezor Password Manager, EOS Authenticator, Authy 2FA và Authenticator 2FA.

Mã độc này còn có thể lấy cắp ảnh chụp màn hình từ tất cả các màn hình, lấy mã thông báo Steam và Discord, đánh cắp file xác thực Telegram và hồ sơ nạn nhân dựa trên hệ điều hành và phần cứng.

Tất cả dữ liệu bị đánh cắp sẽ được chuyển tới máy chủ C2 thông qua hệ thống API tích hợp. Kẻ điều hành có thể xem tổng quan về những gì đã bị đánh cắp từ mỗi nạn nhân thông qua một bảng điều khiển mà các bạn có thể thấy trong ảnh bên dưới:

Mã độc sử dụng ba URL để kết nối với bảng điều khiển, bao gồm Content Dilivery Network (CDN) của Discord, một nền tảng đã bị hacker lạm dụng rất nhiều lần.

Mặc dù Erbium vẫn đang trong quá trình hoàn thiện nhưng tác giả của nó đã được cộng đồng tội phạm mạng ca ngợi rất nhiều vì biết lắng nghe yêu cầu của khách hàng và những nổ lực cải tiến mã độc không ngừng nghỉ.

Theo Cluster25, Erbium đang phát tán mạnh trên toàn thế giới. Các quốc gia đầu tiên có những nạn nhân bị nhiễm mã độc này là Mỹ, Pháp, Colombia, Tây Ban Nha, Ý, Ấn Độ, Việt Nam và Malaysia.

Mặc dù chiến dịch đầu tiên lây nhiễm Erbium bằng cách giả mạo tool crack game, phần mềm nhưng những kẻ phân phối có thể đa dạng hóa phương thức lây nhiễm bất kể lúc nào. Lý do là vì nhà phát triển cho phép khách hàng chọn phương thức phát tán cho mã độc.

Để tránh bị nhiễm những mã độc như Erbium, bạn nên tải phần mềm từ các trang web chính chủ, tránh phần mềm và game crack. Ngoài ra, hãy quét tất cả các file bằng phần mềm diệt virus trước khi mở và luôn cập nhật hệ điều hành lên phiên bản mới nhất.