I ricercatori dell'azienda di sicurezza informatica Proofpoint hanno scoperto un nuovo tipo di malware in grado di rubare le credenziali utente da Google, Facebook, Amazon, Apple e altri servizi online.
È stato chiamato CopperStealer dai ricercatori ed è uno strumento pensato appositamente per rubare password e cookie in fase di sviluppo attivo. Inoltre, contiene una funzione di download che consente ai propri operatori di installare ulteriori payload dannosi sui dispositivi colpiti.
Contemporaneamente, i responsabili del malware hanno utilizzato account compromessi per pubblicare pubblicità dannose e altri malware attraverso campagne di malvertising, che prevedono appunto l'uso di inserzioni pubblicitarie civetta per indurre gli utenti ignari a installare un malware sul proprio sistema.
- I migliori antivirus del 2021
- Gli antivirus gratuiti sono davvero utili?
- La sicurezza aziendale non passa solo dai sistemi informatici
Le prime versioni di CopperStealer risalgono a luglio 2019 e, durante le proprie indagini, Proofpoint ha analizzato un campione che puntava contro account di aziende e inserzionisti su Facebook e Instagram. Inoltre, l'azienda ha individuato ulteriori versioni del malware indirizzate a Bing, PayPal, Tumblr e Twitter.
Il malware CopperStealer
Nel corso delle analisi, Proofpoint ha riscontrato che CopperStealer utilizza diversi dei metodi di targeting e delivery della linea di malware cinesi SilentFade, segnalata per la prima volta da Facebook nel 2019 e responsabile per danni pari a oltre 4 miliardi di dollari. Per questo motivo, l'azienda ritiene che CopperStealer sia una serie mai documentata in precedenza della stessa classe di malware di SilentFade, StressPaint, FacebookRobot e Scranos.
CopperStealer è stato distribuito su siti web sospetti, pubblicizzati come siti per KeyGen e crack, come keygenninja[.]com, piratewares[.]com, startcrack[.]com e crackheap[.]net. Sebbene i siti si presentano come un supporto agli utenti per aggirare le limitazioni di licenza di software legittimo, in realtà distribuiscono programmi/applicazioni potenzialmente indesiderate (PUP/PUA) o eseguono exe dannosi in grado di scaricare e installare payload aggiuntivi.
Proofpoint ha collaborato anche con Facebook, Cloudflare e altri fornitori di servizi durante le indagini per coordinare un intervento volto a fermare la minaccia. Ad esempio, Cloudflare ha inserito una pagina interstitial di avvertimento prima dei domini dannosi e ha creato un cosiddetto sinkhole per deviare il traffico da uno o due siti prima che possano essere registrati dal responsabile della minaccia.
Il sinkhole, infatti, è un metodo impiegato per limitare la possibilità di raccogliere dati sulle vittime da parte del soggetto che vuole effettuare l'attacco, consentendo al contempo ai ricercatori di ottenere uno sguardo approfondito sui dati demografici delle vittime. Durante le prime 24 di funzionamento del sinkhole, sono state registrate 69.992 richieste HTTP da 5.046 IP unici provenienti da 159 diversi Paesi. I primi cinque, in base alle infezioni uniche, erano India, Indonesia, Brasile, Pakistan e Filippine.
Il modo più semplice per evitare il malware CopperStealer è non visitare i siti contenenti KeyGen e crack sites per piratare il software.
- I migliori password manager
Fonte: BleepingComputer
