Pesquisadores da ProofPoint, interromperam um malware de roubo de conta recém-documentado, CopperSteale, distribuído por meio de sites de crack falsos de software e visando grandes provedores de serviço social, incluindo Google, Facebook, Amazon e Apple.
As contramedidas significativas do malware começaram em janeiro. Desde então, ele infectou até 5.000 hosts individuais diariamente.
Sherrod DeGrippo, diretor sênior da Proofpont, disse que eles foram os primeiros a notar esse malware de origem chinesa do usuário do Twitter TheAnalyst. Ela disse que o CopperStealer exibe muitos métodos de direcionamento e entrega semelhantes ao SilentFade, um malware baseado na China relatado pelo Facebook em 2019.
Para neutralizar o CopperStealer, disse DeGrippo, os pesquisadores da Proofpoint fizeram a engenharia reversa do malware e executaram a mesma ação para o DGA ou algoritmo de geração de domínio usado no malware. Com isso, eles impediram que os invasores registrassem os domínios usados pelo malware um dia antes que os invasores pudessem se registrar. Em seguida, eles os derrubaram com a ajuda dos registradores.
DeGrippo disse: “Esses eram os domínios que o malware estava usando para dar instruções para coletar credenciais de volta. As credenciais fazem o mundo girar quando se trata do cenário de ameaças atual e isso mostra o quanto os agentes de ameaças farão para roubar dados valiosos de credenciais. CopperStealer está indo atrás de logins de grandes provedores de serviços, como mídia social e contas de mecanismo de pesquisa, para espalhar malware adicional ou outros ataques. São commodities que podem ser vendidas ou alavancadas. Os usuários devem ativar a autenticação de dois fatores para seus provedores de serviços. ”
O CopperStealer permite que sua operadora extraia dados confidenciais e libere malware adicional, disse o analista sênior de inteligência contra ameaças cibernéticas da Digital Shadows, Chris Morgan.
Morgan disse: “É realisticamente possível que haja motivações semelhantes por trás da campanha CopperStealer, usando as contas para espalhar informações incorretas. As ações tomadas pela Proofpoint e provedores de serviço resultarão em uma interrupção significativa de curto prazo (um a três meses) para esta campanha; no entanto, substituir a infraestrutura deve ser relativamente simples para os atores da ameaça. Os métodos de entrega do CopperStealer dependem da interação dos usuários com sites de torrent que oferecem versões gratuitas de software legítimo, que são atraentes para evitar taxas de licenciamento caras. Os usuários devem evitar interagir e baixar software de qualquer site não oficial, seja em um site corporativo ou pessoal. ”
O cientista-chefe de segurança e CISO consultor da Thycotic, Joseph Carson acrescentou que o malware pode roubar senhas de navegadores bem conhecidos e, portanto, armazenar informações confidenciais dentro dos navegadores se tornará um grande risco à segurança, especialmente quando os funcionários se tornarem vítimas do malware.
Carson disse: “Isso pode fazer com que os criminosos tenham acesso à sua organização. Embora não haja problema em armazenar dados não confidenciais em um navegador, é importante que as organizações vão além dos gerenciadores de senhas, como os dos navegadores. Eles devem migrar para a segurança de acesso privilegiado que adiciona mais proteção e controles de segurança adicionais. É importante ajudar a colocar as senhas em segundo plano e que elas não sejam o único controle de segurança que protege sua empresa. ”
