Изображение: Тим Гоу
Ранее недокументированное вредоносное ПО для кражи учетных записей, распространяемое через поддельные сайты взлома программного обеспечения, нацелено на пользователей крупных поставщиков услуг, включая Google, Facebook, Amazon и Apple.
Вредоносная программа, получившая название CopperStealer от исследователей Proofpoint, представляет собой активно разрабатываемую программу для кражи паролей и файлов cookie с функцией загрузки, которая позволяет операторам доставлять дополнительные вредоносные полезные нагрузки на зараженные устройства.
Злоумышленники, стоящие за этой вредоносной программой, использовали скомпрометированные учетные записи для показа вредоносной рекламы и доставки дополнительных вредоносных программ в последующих кампаниях по вредоносной рекламе.
Опасно, несмотря на отсутствие изысканности
«В то время как мы проанализировали образец, предназначенный для бизнеса и аккаунтов рекламодателей в Facebook и Instagram, мы также выявили дополнительные версии, нацеленные на других крупных поставщиков услуг, включая Apple, Amazon, Bing, Google, PayPal, Tumblr и Twitter», - говорится в опубликованном отчете Proofpoint. сегодня.CopperStealer работает, собирая пароли, сохраненные в веб-браузерах Google Chrome, Edge, Firefox, Яндекс и Opera.
Он также будет извлекать токен доступа пользователя Facebook жертвы с помощью украденных файлов cookie для сбора дополнительного контекста, включая их список друзей, информацию о рекламных учетных записях и список страниц Facebook, к которым они могут получить доступ.
Вредоносное ПО, удаленное с помощью модуля загрузчика CopperStealer, включает модульный бэкдор Smokeloader и широкий спектр других вредоносных полезных нагрузок, загружаемых с нескольких URL-адресов.
«Хотя CopperStealer - не самый гнусный из существующих средств кражи учетных данных / учетных записей, он показывает, что даже с базовыми возможностями общее влияние может быть большим», - добавил Proofpoint.
Запросы Cooperstealer в Facebook и Instagram ( Proofpoint )
Поддельные сайты взлома программного обеспечения, используемые в качестве каналов распространения
CopperStealer распространяется через поддельные сайты взлома программного обеспечения и известные платформы распространения вредоносного ПО, такие как keygenninja [.] Com, piratewares [.] Com, startcrack [.] Com и crackheap [.] Net.Proofpoint работал с Cloudflare и другими поставщиками услуг, чтобы настроить межстраничные объявления для этих доменов, чтобы предупреждать посетителей об их вредоносном характере (однако межстраничные объявления не отображались в тестах BleepingComputer).
Два сайта также были заблокированы после обнаружения их связи с продолжающимися попытками доставки вредоносного ПО и ПО потенциально нежелательных программ / приложений (PUP / PUA).
«За первые 24 часа работы провал зарегистрировал 69 992 HTTP-запроса с 5 046 уникальных IP-адресов из 159 стран, представляющих 4 655 уникальных заражений», - сказал Proofpoint.
Сайт KeyGenNinja
CopperStealer демонстрирует аналогичные методы нацеливания и доставки с вредоносным ПО SilentFade, используемым для кражи файлов cookie браузера и продвижения вредоносной рекламы через скомпрометированные учетные записи Facebook, что приводит к ущербу более 4 миллионов долларов.
«Учетные данные заставляют мир вертеться, когда дело доходит до текущего ландшафта угроз, и это показывает, на что способны злоумышленники, чтобы украсть ценные учетные данные», - сказал Шеррод ДеГриппо, старший директор Proofpoint по исследованию угроз.
«CopperStealer преследует логины крупных поставщиков услуг, таких как учетные записи в социальных сетях и поисковых системах, для распространения дополнительных вредоносных программ или других атак. Это товары, которые можно продавать или использовать».
Поскольку вредоносные программы для кражи учетных записей, подобные этому, предоставляют мошенников, стоящих за атаками по олицетворению и мошенничеством с кражей личных данных, пользователям рекомендуется по возможности включать двухфакторную аутентификацию в качестве дополнительного уровня защиты от таких попыток.
Перевод - Google
Bleeping Computer