Alla fine di gennaio 2021 il threat research team di Proofpoint ha analizzato e infine bloccato CopperStealer, uno stealer di password e cookie. Questo malware è stato identificato in 4.655 casi unici in 159 paesi, i primi cinque sono India, Indonesia, Brasile, Pakistan e Filippine.
I ricercatori hanno analizzato i campioni di Copperstealer che colpiscono gli account business e gli inserzionisti di Facebook e Instagram per rubare le password di Facebook memorizzate in Chrome, Edge, Yandex, Opera e FireFox. Proofpoint ritiene che gli autori della minaccia abbiano poi utilizzato questo accesso non autorizzato per inserire pubblicità dannosa sulle piattaforme e trarne profitto, come già segnalato in passato da Facebook.
L’analisi di Proofpoint ha scoperto altre versioni di CopperStealer che prendono di mira importanti aziende, tra cui Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter. Proofpoint ha lavorato a stretto contatto con alcune di loro per indagare ulteriormente su questa minaccia, creare un sinkhole e condividere le informazioni raccolte. Il malware colpisce grandi piattaforme tecnologiche e service provider, cercando di rubare i login di alcuni dei servizi più popolari su Internet.
“Sono le credenziali a far girare il mondo quando si tratta dell’attuale panorama delle minacce intese per rubare dati preziosi. Stealer di credenziali, landing page di phishing e furto di cookie contribuiscono alla compromissione di account che possono poi essere sfruttati per impersonare e avviare ulteriori attacchi. Copperstealer prende di mira i dati di login dei grandi service provider – come gli account di social media e dei motori di ricerca – per sfruttarli per diffondere ulteriore malware e per lanciare attacchi, o per rivenderli. Una raccomandazione agli utenti è quella di attivare l’autenticazione a due fattori per tutti i più importanti servizi utilizzati,” sottolinea Sherrod DeGrippo, senior director of Threat Research di Proofpoint.
I punti chiave della ricerca:
- CopperStealer è una famiglia di malware attivamente sviluppata e non documentata in precedenza, con relazioni con SilentFade, StressPaint, FacebookRobot e Scranos.
- Proofpoint ha collaborato con Facebook, Cloudflare e altri service provider per interrompere le attività di CopperStealer.
- CopperStealer è una prova ulteriore della continua ricerca da parte dei cybercriminali di monetizzare gli account dei social media
