El nuevo malware CopperStealer roba cuentas de Google, Apple y Facebook

Imagen: Tim Gouw

El malware previamente indocumentado que roba cuentas y se distribuye a través de sitios de crackeo de software falsos se dirige a los usuarios de los principales proveedores de servicios, incluidos Google, Facebook, Amazon y Apple.

El malware, denominado CopperStealer por los investigadores de Proofpoint, es un ladrón de contraseñas y cookies desarrollado activamente con una función de descarga que permite a sus operadores entregar cargas útiles maliciosas adicionales a los dispositivos infectados.

Los actores de amenazas detrás de este malware utilizaron cuentas comprometidas para ejecutar anuncios maliciosos y entregar malware adicional en campañas posteriores de publicidad maliciosa.

Peligroso a pesar de la falta de refinamiento

"Si bien analizamos una muestra dirigida a anunciantes y cuentas corporativas de Facebook e Instagram, también identificamos versiones adicionales dirigidas a otros proveedores de servicios importantes, incluidos Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter". Proofpoint Ella dijo en un informe publicado hoy.

CopperStealers funciona mediante la recopilación de contraseñas guardadas en los navegadores web Google Chrome, Edge, Firefox, Yandex y Opera.

También recuperará el token de acceso de usuario de Facebook de las víctimas utilizando las cookies robadas para recopilar contexto adicional, incluida su lista de amigos, información de cuenta de anuncios y una lista de páginas de Facebook a las que pueden acceder.

El malware lanzado mediante el módulo de descarga de CopperStealer incluye el módulo Cargador de humo puertas traseras y una amplia gama de otras cargas útiles maliciosas descargadas de diferentes URL.

"Si bien CopperStealer no es el ladrón de credenciales / cuentas más infame que existe, muestra que incluso con la funcionalidad básica, el impacto general puede ser grande", agregó Proofpoint.

Sitios de crackeo de software falsos utilizados como canales de distribución

CopperStealer se distribuye a través de sitios falsos de crack de software y plataformas de distribución de malware conocidas como keygenninja.[.]com, piratewares[.]com, startcrack[.]com y crackheap[.]neto.

Proofpoint trabajó con Cloudflare y otros proveedores de servicios para configurar intersticiales para estos dominios a fin de advertir a los visitantes de su naturaleza maliciosa (sin embargo, los intersticiales no aparecieron en las pruebas de BleepingComputer).

Dos de los sitios también se hundieron después de descubrir su conexión con los intentos en curso de entregar software malicioso y PUP / PUA (programas / aplicaciones potencialmente no deseados).

"En las primeras 24 horas de funcionamiento, el sumidero registró 69.992 solicitudes HTTP de 5.046 direcciones IP únicas de 159 países que representan 4.655 infecciones únicas", dijo Proofpoint.

CopperStealer muestra métodos similares de focalización y entrega con el Malware SilentFade utilizado para robar cookies del navegador y promover anuncios maliciosos a través de cuentas de Facebook comprometidas, causando daños por más de $ 4 millones.

"Las credenciales hacen girar al mundo cuando se trata del panorama de amenazas actual y eso muestra cuánto tiempo les tomará a los actores de amenazas robar datos valiosos de credenciales", dijo Sherrod DeGrippo, director senior de Investigación de Amenazas en Proofpoint.

"CopperStealer busca los inicios de sesión de grandes proveedores de servicios, como redes sociales y cuentas de motores de búsqueda, para difundir malware adicional u otros ataques. Estos son productos que pueden venderse o explotarse".

Dado que el robo de cuentas de malware como este proporciona a los estafadores detrás de los ataques de robo de identidad y suplantación de identidad, se recomienda a los usuarios que habiliten la autenticación de dos factores siempre que sea posible como una capa adicional de protección contra tales intentos.