ProofPointの研究者は、偽のソフトウェアクラックサイトを通じて配布され、Google、Facebook、Amazon、Appleなどの主要なソーシャルサービスプロバイダーを標的とした、新たに文書化されたアカウント盗用マルウェア、CopperStealeを妨害しました。
マルウェアの重要な対策は1月に始まりました。それ以来、毎日最大5000の個別のホストに感染しました。
ProofpontのシニアディレクターであるSherrodDeGrippo氏は、TwitterユーザーのTheAnalystからこの中国製のマルウェアに最初に気付いたのは彼らだと語った。彼女によると、CopperStealerは、2019年にFacebookによって報告された中国ベースのマルウェアであるSilentFadeと同様のターゲティングおよび配信方法を数多く示しています。
Proofpointの研究者は、CopperStealerに対抗するためにマルウェアをリバースエンジニアリングし、マルウェアで使用されているDGAまたはドメイン生成アルゴリズムに対して同じアクションを実行すると述べています。これにより、攻撃者が登録する前日に、マルウェアが使用するドメインを攻撃者が登録するのを阻止しました。それから、彼らはレジストラの助けを借りて彼らを降ろしました。
DeGrippoは、次のように述べています。「これらは、マルウェアが資格情報を取り戻すための指示を与えるために使用していたドメインです。クレデンシャルは、現在の脅威の状況に関して世界を一周させます。これは、脅威の攻撃者が貴重なクレデンシャルデータを盗むのにかかる時間を示しています。 CopperStealerは、ソーシャルメディアや検索エンジンアカウントなどの大手サービスプロバイダーのログインを追跡して、追加のマルウェアやその他の攻撃を拡散させています。これらは、販売または活用できる商品です。ユーザーは、サービスプロバイダーに対して2要素認証をオンにする必要があります。」
コッパースティーラーは、オペレーターが機密データを盗み出し、追加のマルウェアをドロップすることを可能にしていると、デジタルシャドウズの上級サイバー脅威インテリジェンスアナリスト、クリスモーガン氏は述べています。
モーガン氏は、次のように述べています。「アカウントを使用して誤った情報を広めることで、CopperStealerキャンペーンの背後に同様の動機がある可能性があります。 Proofpointおよびサービスプロバイダーが講じた措置により、このキャンペーンは短期的(1〜3か月)に大幅に中断されます。ただし、インフラストラクチャの交換は、脅威アクターにとって比較的簡単なはずです。 CopperStealerの配信方法は、合法的なソフトウェアの無料バージョンを提供するトレントサイトと対話するユーザーに依存しています。これは、高額なライセンス料を回避するのに魅力的です。ユーザーは、企業のWebサイトであろうと個人のWebサイトであろうと、非公式のサイトとのやり取りやソフトウェアのダウンロードを避ける必要があります。」
Thycoticの最高セキュリティ科学者兼アドバイザリーCISOであるJosephCarson氏は、マルウェアは有名なWebブラウザーからパスワードを盗む可能性があるため、特に従業員がマルウェアの被害者になった場合、Webブラウザー内に機密情報を保存することが大きなセキュリティリスクになると付け加えました。
カーソン氏は、次のように述べています。「これにより、犯罪者が組織にアクセスできるようになる可能性があります。機密性の低いデータをブラウザに保存することは問題ありませんが、組織がブラウザなどのパスワードマネージャを超えて移動することが重要です。彼らは、より多くの保護と追加のセキュリティ制御を追加する特権アクセスセキュリティに移行する必要があります。パスワードをバックグラウンドに移動できるようにすることが重要であり、ビジネスを保護するセキュリティ管理策はパスワードだけではありません。」
