I ricercatori di ProofPoint, hanno interrotto un account recentemente documentato che ruba malware, CopperSteale, distribuito attraverso falsi siti di crack software e prendendo di mira i principali fornitori di servizi sociali tra cui Google, Facebook, Amazon e Apple.
Le contromisure significative del malware sono iniziate a gennaio. Da allora, ha infettato fino a 5000 singoli host su base giornaliera.
Sherrod DeGrippo, direttore senior di Proofpont, ha dichiarato di essere stati i primi a notare questo malware di origine cinese dall’utente Twitter TheAnalyst. Ha detto, il CopperStealer mostra molti metodi di targeting e consegna simili a SilentFade, un malware con sede in Cina segnalato da Facebook nel 2019.
Per contrastare il CopperStealer, ha affermato DeGrippo, i ricercatori di Proofpoint hanno decodificato il malware ed eseguono la stessa azione sull’algoritmo di generazione del dominio o DGA utilizzato nel malware. Con ciò, hanno impedito agli aggressori di registrare i domini utilizzati dal malware un giorno prima che gli aggressori potessero registrarsi. Quindi, li hanno eliminati con l’aiuto dei registrar.
DeGrippo ha dichiarato: “Questi erano i domini che il malware utilizzava per fornire istruzioni per recuperare le credenziali. Le credenziali fanno girare il mondo quando si tratta dell’attuale panorama delle minacce e questo mostra quanto tempo impiegheranno gli attori delle minacce per rubare preziosi dati sulle credenziali. CopperStealer sta cercando di accedere a grandi fornitori di servizi come i social media e gli account dei motori di ricerca per diffondere malware aggiuntivo o altri attacchi. Queste sono materie prime che possono essere vendute o sfruttate. Gli utenti dovrebbero attivare l’autenticazione a due fattori per i loro fornitori di servizi “.
CopperStealer consente al suo operatore di filtrare i dati sensibili e rilasciare malware aggiuntivo, ha affermato Chris Morgan, analista senior di intelligence sulle minacce informatiche di Digital Shadows.
Morgan ha detto: “È realisticamente possibile che ci siano motivazioni simili dietro la campagna CopperStealer, utilizzando gli account per diffondere disinformazione. Le azioni intraprese da Proofpoint e dai fornitori di servizi si tradurranno in una significativa interruzione a breve termine (da uno a tre mesi) di questa campagna; tuttavia, la sostituzione dell’infrastruttura dovrebbe essere relativamente semplice per gli attori della minaccia. I metodi di consegna per CopperStealer si basano sull’interazione degli utenti con siti torrent che offrono versioni gratuite di software legittimo, che sono interessanti per evitare costosi costi di licenza. Gli utenti dovrebbero evitare di interagire e scaricare software da qualsiasi sito non ufficiale, sia su un sito web aziendale che personale. “
Joseph Carson, chief security scientist e consulente CISO di Thycotic, ha aggiunto che il malware può rubare le password da browser Web ben noti e quindi l’archiviazione di informazioni sensibili all’interno dei browser Web diventerà un grave rischio per la sicurezza, soprattutto quando i dipendenti diventano vittime del malware.
Carson ha detto: “Questo potrebbe portare i criminali ad avere accesso alla tua organizzazione. Sebbene la memorizzazione di dati non sensibili in un browser sia accettabile, è importante che le organizzazioni vadano oltre i gestori di password, come quelli nei browser. Dovrebbero passare alla sicurezza dell’accesso privilegiato che aggiunge più protezione e controlli di sicurezza aggiuntivi. È importante aiutare a spostare le password in background e che non siano l’unico controllo di sicurezza che protegge la tua azienda “.
