Des chercheurs de ProofPoint ont perturbé un nouveau logiciel de vol de compte, CopperSteale, distribué via de faux sites de piratage de logiciels et ciblant les principaux fournisseurs de services sociaux tels que Google, Facebook, Amazon et Apple.
Les contre-mesures importantes du malware ont commencé en janvier. Depuis lors, il a infecté jusqu’à 5 000 hôtes individuels par jour.
Sherrod DeGrippo, directeur principal de Proofpont, a déclaré avoir été le premier à remarquer ce malware d’origine chinoise de l’utilisateur de Twitter TheAnalyst. Elle a déclaré que CopperStealer présentait de nombreuses méthodes de ciblage et de fourniture similaires à SilentFade, un malware basé en Chine signalé par Facebook en 2019.
Pour contrer le CopperStealer, a déclaré DeGrippo, les chercheurs de Proofpoint ont procédé à une ingénierie inverse du malware et ont effectué la même action sur le DGA ou l’algorithme de génération de domaine utilisé dans le malware. Avec cela, ils ont empêché les attaquants d’enregistrer les domaines utilisés par le malware un jour avant que les attaquants puissent s’enregistrer. Ensuite, ils les ont retirés avec l’aide des registraires.
DeGrippo a déclaré: «C’étaient les domaines que le malware utilisait pour donner des instructions pour récupérer les informations d’identification. Les informations d’identification font tourner le monde en ce qui concerne le paysage actuel des menaces, ce qui montre les efforts que mettront les acteurs de la menace pour voler des données d’identification précieuses. CopperStealer s’attaque aux connexions de grands fournisseurs de services comme les réseaux sociaux et les comptes de moteur de recherche pour propager des logiciels malveillants supplémentaires ou d’autres attaques. Ce sont des produits qui peuvent être vendus ou mis à profit. Les utilisateurs doivent activer l’authentification à deux facteurs pour leurs fournisseurs de services. »
CopperStealer permet à son opérateur d’ex-filtrer les données sensibles et de supprimer des logiciels malveillants supplémentaires, a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows.
Morgan a déclaré: «Il est de manière réaliste possible qu’il existe des motivations similaires derrière la campagne CopperStealer, en utilisant les comptes pour répandre de la désinformation. Les mesures prises par Proofpoint et les fournisseurs de services entraîneront une perturbation significative à court terme (un à trois mois) de cette campagne; cependant, le remplacement des infrastructures devrait être relativement simple pour les acteurs de la menace. Les méthodes de livraison de CopperStealer reposent sur l’interaction des utilisateurs avec des sites torrent offrant des versions gratuites de logiciels légitimes, qui sont attrayantes pour éviter des frais de licence coûteux. Les utilisateurs doivent éviter d’interagir et de télécharger des logiciels à partir de sites non officiels, que ce soit sur un site Web d’entreprise ou personnel. »
Scientifique en chef de la sécurité et RSSI-conseil chez Thycotic, Joseph Carson a ajouté que le malware peut voler des mots de passe à des navigateurs Web bien connus et que le stockage d’informations sensibles dans des navigateurs Web deviendra donc un risque de sécurité majeur, en particulier lorsque les employés deviendront les victimes du malware.
Carson a déclaré: «Cela pourrait amener les criminels à accéder à votre organisation. Bien que le stockage de données non sensibles dans un navigateur soit acceptable, il est important que les organisations ne se limitent pas aux gestionnaires de mots de passe, tels que ceux des navigateurs. Ils devraient passer à la sécurité d’accès privilégié qui ajoute plus de protection et des contrôles de sécurité supplémentaires. Il est important d’aider à faire passer les mots de passe en arrière-plan et de faire en sorte qu’ils ne soient pas le seul contrôle de sécurité protégeant votre entreprise. »
