malware CopperStealer

Noul malware CopperStealer fură conturile Google, Apple, Facebook

Programele malware care fură conturi, distribuite prin intermediul site-urilor false de software, vizează utilizatorii furnizorilor majori de servicii, inclusiv Google, Facebook, Amazon și Apple.

Programul malware, supranumit CopperStealer de către cercetătorii Proofpoint, este un stealer de parole și cookie-uri dezvoltat activ, cu o funcție de descărcare care permite operatorilor să livreze încărcături suplimentare  dăunătoare dispozitivelor infectate.

Actorii din spatele acestui malware au folosit conturi compromise pentru a difuza reclame rău intenționate și pentru a furniza programe malware suplimentare în campaniile ulterioare de publicitate.

Periculos în ciuda lipsei de rafinament

„În timp ce am analizat un eșantion care vizează conturile de afaceri și agenții de publicitate de pe Facebook și Instagram, am identificat și versiuni suplimentare care vizează alți furnizori majori de servicii, inclusiv Apple, Amazon, Bing, Google, PayPal, Tumblr și Twitter”, a spus Proofpoint într-un raport publicat astăzi.

CopperStealers funcționează recoltând parolele salvate în browserele web Google Chrome, Edge, Firefox, Yandex și Opera.

De asemenea, va prelua jetonul de acces al utilizatorilor Facebook victimelor, folosind cookie-urile furate pentru a colecta un context suplimentar, inclusiv lista de prieteni, informații despre conturile publicitare și o listă de pagini de Facebook pe care le pot accesa.

Programele malware folosesc modulul de descărcare CopperStealer (Smokeloader ) și o gamă largă de alte încărcături dăunătoare de pe mai multe adrese URL.

„În timp ce CopperStealer nu este cel mai infaim creditor / furt de cont existent, aceasta demonstrează că, chiar și cu capabilități de bază, impactul general poate fi mare”, a adăugat Proofpoint.

Site-uri false de crack-uri utilizate ca si canale de distribuție

CopperStealer este distribuit prin intermediul site-urilor de software false și al platformelor cunoscute de distribuție a malware-ului, cum ar fi keygenninja, piratewares, startcrack și crackheap.

Proofpoint a lucrat cu Cloudflare și alți furnizori de servicii pentru a configura interstițiale pentru aceste domenii pentru a avertiza vizitatorii cu privire la natura lor rău intenționată (cu toate acestea, interstițialele nu au apărut în testele initiale ale noastre).

Două dintre site-uri au fost, de asemenea, blocate după ce au descoperit conexiunea lor cu încercările în curs de livrare a programelor malware și a programelor / aplicațiilor potențial nedorite (PUP / PUA).

„În primele 24 de ore de funcționare, s-au înregistrat 69.992 de solicitări HTTP de la 5.046 adrese IP unice provenind din 159 de țări, reprezentând 4.655 de infecții unice”, a spus Proofpoint.

CopperStealer prezintă metode de direcționare și livrare similare cu  malware-ul SilentFade folosit pentru a fura cookie-urile browserului și pentru a promova reclame rău intenționate prin intermediul conturilor Facebook compromise, ducând la daune de peste 4 milioane de dolari.

„Acreditările fac lumea să se rotească când vine vorba de peisajul actual al amenințărilor și acest lucru arată lungimile pe care actorii rai le vor lua pentru a fura date valoroase de acreditare”, a declarat Sherrod DeGrippo, director senior Proofpoint al Threat Research.

„CopperStealer urmărește conectarea furnizorilor de servicii mari, cum ar fi conturile de socializare și motoarele de căutare, pentru a răspândi programe malware suplimentare sau alte atacuri. Acestea sunt mărfuri care pot fi vândute sau pârghiate.”

Întrucât furtul de conturi oferit prin malware de escrocii din spatele atacurilor de imitare și a fraudelor de furt de identitate, utilizatorii sunt sfătuiți să activeze autentificarea cu doi factori ori de câte ori este posibil, ca un strat suplimentar de protecție împotriva acestor încercări.