Die Forscher von ProofPoint haben ein neu dokumentiertes Konto, das Malware stiehlt, CopperSteale, gestört, das über gefälschte Software-Crack-Sites verbreitet wurde und sich an wichtige Anbieter sozialer Dienste wie Google, Facebook, Amazon und Apple richtet.
Die wesentlichen Gegenmaßnahmen gegen die Malware begannen im Januar. Seitdem infizierte es täglich bis zu 5000 einzelne Hosts.
Sherrod DeGrippo, Senior Director bei Proofpont, sagte, sie seien die ersten gewesen, die diese Malware aus China vom Twitter-Benutzer TheAnalyst bemerkt hätten. Sie sagte, dass der CopperStealer viele ähnliche Targeting- und Bereitstellungsmethoden aufweist wie SilentFade, eine chinesische Malware, die 2019 von Facebook gemeldet wurde.
Um dem CopperStealer entgegenzuwirken, haben die Proofpoint-Forscher die Malware rückentwickelt und die gleiche Aktion wie der in der Malware verwendete DGA- oder Domain-Generierungsalgorithmus ausgeführt. Damit haben sie die Angreifer daran gehindert, die von der Malware verwendeten Domänen einen Tag vor der Registrierung der Angreifer zu registrieren. Dann nahmen sie sie mit Hilfe der Registrare ab.
DeGrippo sagte: „Dies waren die Domänen, in denen die Malware Anweisungen zum Zurückerhalten von Anmeldeinformationen gab. Anmeldeinformationen bringen die Welt in Bewegung, wenn es um die aktuelle Bedrohungslandschaft geht. Dies zeigt, wie lange Bedrohungsakteure brauchen, um wertvolle Anmeldeinformationen zu stehlen. CopperStealer sucht nach Anmeldungen großer Dienstanbieter wie Social Media und Suchmaschinenkonten, um zusätzliche Malware oder andere Angriffe zu verbreiten. Dies sind Waren, die verkauft oder gehebelt werden können. Benutzer sollten die Zwei-Faktor-Authentifizierung für ihre Dienstanbieter aktivieren. “
CopperStealer ermöglicht es seinem Betreiber, vertrauliche Daten zu filtern und zusätzliche Malware zu löschen, sagte Chris Morgan, Senior Analyst für Cyber Threat Intelligence bei Digital Shadows.
Morgan sagte: “Es ist realistisch möglich, dass die CopperStealer-Kampagne ähnliche Gründe hat, die Konten zur Verbreitung von Fehlinformationen zu verwenden. Die von Proofpoint und Dienstanbietern ergriffenen Maßnahmen führen zu einer erheblichen kurzfristigen Unterbrechung (ein bis drei Monate) dieser Kampagne. Das Ersetzen der Infrastruktur sollte für die Bedrohungsakteure jedoch relativ einfach sein. Die Bereitstellungsmethoden für CopperStealer basieren auf Benutzern, die mit Torrent-Websites interagieren und kostenlose Versionen legitimer Software anbieten, die attraktiv sind, um kostspielige Lizenzgebühren zu vermeiden. Benutzer sollten es vermeiden, Software von inoffiziellen Websites zu interagieren und herunterzuladen, sei es auf einer Unternehmens- oder einer persönlichen Website. “
Joseph Carson, Chief Security Scientist und beratender CISO bei Thycotic, fügte hinzu, dass die Malware Passwörter von bekannten Webbrowsern stehlen kann. Das Speichern vertraulicher Informationen in Webbrowsern wird daher zu einem großen Sicherheitsrisiko, insbesondere wenn die Mitarbeiter Opfer der Malware werden.
Carson sagte: „Dies könnte dazu führen, dass die Kriminellen Zugang zu Ihrer Organisation erhalten. Während das Speichern nicht sensibler Daten in einem Browser in Ordnung ist, ist es wichtig, dass Unternehmen über Kennwortmanager hinausgehen, z. B. in Browsern. Sie sollten auf privilegierte Zugriffssicherheit umsteigen, die mehr Schutz und zusätzliche Sicherheitskontrollen bietet. Es ist wichtig, Kennwörter in den Hintergrund zu rücken und dass sie nicht die einzige Sicherheitskontrolle sind, die Ihr Unternehmen schützt. “
