Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Malware CopperStealer roba cuentas de Google, Apple y Facebook

El malware de robo de cuentas previamente indocumentado distribuido a través de sitios falsos de crack de software se dirige a los usuarios de los principales proveedores de servicios, incluidos Google, Facebook, Amazon y Apple.

El malware, denominado CopperStealer por los investigadores de Proofpoint, es un ladrón de contraseñas y cookies desarrollado activamente con una función de descarga que permite a sus operadores entregar cargas útiles maliciosas adicionales a los dispositivos infectados.

Los actores de amenazas detrás de este malware han utilizado cuentas comprometidas para ejecutar anuncios maliciosos y entregar malware adicional en campañas posteriores de publicidad maliciosa.

Peligroso a pesar de la falta de sofisticación

“Si bien analizamos una muestra que apunta a cuentas comerciales y de anunciantes de Facebook e Instagram, también identificamos versiones adicionales que apuntan a otros proveedores de servicios importantes, incluidos Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter”, dijo Proofpoint en un informe publicado. hoy dia.

CopperStealers funciona recolectando contraseñas guardadas en los navegadores web Google Chrome, Edge, Firefox, Yandex y Opera.

También recuperará el token de acceso de usuario de Facebook de las víctimas utilizando cookies robadas para recopilar contexto adicional, incluida su lista de amigos, información de cuentas de publicidad y una lista de páginas de Facebook a las que pueden acceder.

El malware eliminado mediante el módulo de descarga de CopperStealer incluye la puerta  trasera modular Smokeloader y una amplia gama de otras cargas útiles maliciosas descargadas de varias URL.

“Si bien CopperStealer no es el ladrón de credenciales / cuentas más infame que existe, demuestra que incluso con capacidades básicas, el impacto general puede ser grande”, agregó Proofpoint.

Solicitudes de Cooperstealer en Facebook e Instagram
Solicitudes de Cooperstealer en Facebook e Instagram ( Proofpoint )

Sitios de crackeo de software falsos utilizados como canales de distribución

CopperStealer se distribuye a través de sitios de crackeo de software falsos y plataformas de distribución de malware conocidas, como keygenninja [.] Com, piratewares [.] Com, startcrack [.] Com y crackheap [.] Net.

Proofpoint trabajó con Cloudflare y otros proveedores de servicios para configurar intersticiales para estos dominios a fin de advertir a los visitantes de su naturaleza maliciosa (sin embargo, los intersticiales no aparecieron en las pruebas de BleepingComputer).

Dos de los sitios también sufrieron un hundimiento después de descubrir su conexión con los intentos en curso de entregar software malicioso y programas / aplicaciones potencialmente no deseados (PUP / PUA).

“En las primeras 24 horas de funcionamiento, el sumidero registró 69.992 solicitudes HTTP de 5.046 direcciones IP únicas originadas en 159 países que representan 4.655 infecciones únicas”, dijo Proofpoint.

KeyGenNinja
El sitio de KeyGenNinja

CopperStealer muestra métodos similares de orientación y entrega con el  malware SilentFade que se usa para robar cookies del navegador y promover anuncios maliciosos a través de cuentas de Facebook comprometidas, lo que genera más de $ 4 millones en daños.

“Las credenciales hacen girar al mundo cuando se trata del panorama actual de amenazas y esto muestra lo mucho que los actores de amenazas tomarán para robar datos valiosos de credenciales”, dijo Sherrod DeGrippo, director senior de Investigación de Amenazas de Proofpoint.

“CopperStealer persigue los inicios de sesión de los grandes proveedores de servicios, como las redes sociales y las cuentas de motores de búsqueda, para difundir malware adicional u otros ataques. Estos son productos básicos que se pueden vender o aprovechar”.

Dado que el malware de robo de cuentas como este proporciona a los estafadores detrás de los ataques de suplantación de identidad y el fraude de robo de identidad, se recomienda a los usuarios que activen la autenticación de dos factores siempre que sea posible como una capa adicional de protección contra tales intentos.

 

Fuente: BleepingComputer

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!