Investigadores de ProofPoint, interrumpieron una cuenta recientemente documentada que roba malware, CopperSteale, distribuida a través de sitios falsos de crack de software y dirigida a los principales proveedores de servicios sociales, incluidos Google, Facebook, Amazon y Apple.
Las importantes contramedidas del malware comenzaron en enero. Desde entonces, infectó hasta 5000 hosts individuales a diario.
Sherrod DeGrippo, director senior de Proofpont, dijo que fueron los primeros en notar este malware de origen chino del usuario de Twitter TheAnalyst. Ella dijo que el CopperStealer exhibe muchos métodos de entrega y focalización similares a SilentFade, un malware con sede en China informado por Facebook en 2019.
Para contrarrestar el CopperStealer, dijo DeGrippo, los investigadores de Proofpoint realizaron ingeniería inversa del malware y realizaron la misma acción en el algoritmo de generación de dominios o DGA utilizado en el malware. Con eso, evitaron que los atacantes registraran los dominios utilizados por el malware un día antes de que los atacantes pudieran registrarse. Luego, los eliminaron con la ayuda de los registradores.
DeGrippo dijo: “Estos eran los dominios que usaba el malware para dar instrucciones para recuperar las credenciales. Las credenciales hacen girar al mundo cuando se trata del panorama actual de amenazas y esto muestra lo mucho que los actores de amenazas tomarán para robar datos valiosos de credenciales. CopperStealer persigue los inicios de sesión de los grandes proveedores de servicios, como las redes sociales y las cuentas de motores de búsqueda, para difundir malware adicional u otros ataques. Estos son productos básicos que se pueden vender o aprovechar. Los usuarios deben activar la autenticación de dos factores para sus proveedores de servicios “.
CopperStealer permite a su operador filtrar datos confidenciales y eliminar malware adicional, dijo el analista senior de inteligencia de amenazas cibernéticas de Digital Shadows, Chris Morgan.
Morgan dijo: “Es realistamente posible que haya motivaciones similares detrás de la campaña CopperStealer, utilizando las cuentas para difundir información errónea. Las acciones tomadas por Proofpoint y los proveedores de servicios resultarán en una interrupción significativa a corto plazo (de uno a tres meses) de esta campaña; sin embargo, reemplazar la infraestructura debería ser relativamente simple para los actores de la amenaza. Los métodos de entrega de CopperStealer dependen de que los usuarios interactúen con sitios de torrents que ofrecen versiones gratuitas de software legítimo, que son atractivas para evitar costosas tarifas de licencia. Los usuarios deben evitar interactuar y descargar software de sitios no oficiales, ya sea en un sitio web corporativo o personal “.
Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic, agregó que el malware puede robar contraseñas de navegadores web conocidos y, por lo tanto, almacenar información confidencial dentro de los navegadores web se convertirá en un riesgo de seguridad importante, especialmente cuando los empleados se conviertan en víctimas del malware.
Carson dijo: “Esto podría llevar a que los delincuentes accedan a su organización. Si bien almacenar datos no confidenciales en un navegador está bien, es importante que las organizaciones vayan más allá de los administradores de contraseñas, como los de los navegadores. Deben pasar a la seguridad de acceso privilegiado que agrega más protección y controles de seguridad adicionales. Es importante ayudar a mover las contraseñas a un segundo plano y que no sean el único control de seguridad que protege su empresa “.
