Mã độc giả phần mềm crack game đánh cắp tất cả mật khẩu người dùng, đặc biệt là game thủ Việt

Quân Kít

Erbium là một mã độc hại bên trong một số bản crack game và phần mềm vi phạm bản quyền.

Phần mềm độc hại đánh cắp thông tin 'Erbium' mới đang được phát tán dưới dạng phần mềm crack giả mạo và hack/ cheat game phổ biến để lấy cắp thông tin đăng nhập và ví tiền điện tử của nạn nhân.

Erbium là mã độc mới (Malware-as-a-Services - MaaS), cung cấp cho khách hàng một phần mềm độc hại đánh cắp thông tin mới đang trở nên phổ biến trong cộng đồng tội phạm mạng nhờ chức năng mở rộng, hỗ trợ khách hàng và giá cả cạnh tranh.

Các nhà nghiên cứu bảo mật Cluster25 là những người đầu tiên báo cáo về Erbium vào đầu tháng này, nhưng một báo cáo mới của Cyfirma  chia sẻ thêm thông tin về cách trojan phát tán mã độc này.

Erbium được quảng cáo trên các diễn đàn hacker tiếng Nga từ tháng 7/2022, nhưng chỉ mới phổ biến trong thời gian gần đây. 

Ban đầu Erbium có giá 9 USD/ tuần, nhưng kể từ khi mức độ phổ biến của nó tăng lên vào cuối tháng 8, giá của mã độc này tăng lên 100 USD/ mỗi tháng hoặc 1000 USD/ năm. 

So với các mã độc đang được ưa chuộng khác như RedLine, mức giá của Erbium chỉ bằng một phần ba, vì vậy có thể thấy mã độc này đang có động thái phá giá thị trường Maas. 

Giống như các phần mềm độc đánh cắp thông tin khác, Erbium sẽ lấy cắp dữ liệu được lưu trữ trong trình duyệt web (dựa trên Chromium hoặc Gecko), chẳng hạn như mật khẩu, cookie, thẻ tín dụng và thông tin tự động điền.

Mã độc này cũng cố gắng lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình duyệt dưới dạng tiện ích mở rộng.

Các ví tiền ảo dưới dạng ví lạnh như Exodus, Atomic, Armoury, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash và Jaxx cũng bị đánh cắp.

Erbium cũng đánh cắp mã xác thực hai yếu tố từ Trezor Password Manager, EOS Authenticator, Authy 2FA và Authenticator 2FA.

Mã độc này có thể lấy ảnh chụp màn hình từ tất cả các màn hình, lấy mã thông báo Steam và Discord, đánh cắp tệp ủy quyền Telegram và lập hồ sơ nạn nhân dựa trên hệ điều hành và phần cứng.

Tất cả dữ liệu được chuyển đến C2 thông qua hệ thống API tích hợp. Hacker có thể xem tổng quát về những gì đã bị đánh cắp từ nạn nhân trên bảng điều khiển Erbium như hình ảnh bên dưới: 

Mã độc hại cũng sử dụng ba URL để kết nối với bảng điều khiển, bao gồm Content Dilivery Network (CDN) của Discord (CDN), một nền tảng mà nhiều hacker sử dụng rất nhiều lần. 

Trong khi Erbium vẫn đang trong quá trình hoàn thiện, người dùng trên các diễn đàn hacker đã ca ngợi nỗ lực của nhà phát triển và sự sẵn sàng lắng nghe yêu cầu của khách hàng, nhằm cải tiến mã độc không ngừng.

Theo Cluster25 đã báo cáo, Erbium đang phổ biến trên toàn thế giới, bao gồm ở Mỹ, Pháp, Colombia, Tây Ban Nha, Ý, Ấn Độ, Malaysia, kễ cả Việt Nam. 

Mặc dù chiến dịch đầu tiên lây nhiễm Erbium bằng cách giả mạo các công cụ crack game, phần mềm nhưng những kẻ phân phối có thể đa dạng hóa phương thức lây nhiễm bất kể lúc nào. Lý do là vì nhà phát triển cho phép khách hàng chọn phương thức phát tán cho mã độc.

Để tránh bị nhiễm những mã độc như Erbium, bạn nên tải phần mềm từ các trang web chính chủ, tránh phần mềm và game crack. Ngoài ra, hãy quét tất cả các file bằng phần mềm diệt virus trước khi mở và luôn cập nhật hệ điều hành lên phiên bản mới nhất.

 

Bài cùng chuyên mục