Los ciberdelincuentes han lanzado una nueva campaña que utiliza el malware «CopperStealer» para robar contraseñas de Facebook almacenadas en los navegadores Chrome, Edge, Yandex, Opera y Firefox.
De acuerdo a una entrada en el blog por investigadores de la firma de ciberseguridad Proofpoint, los actores de amenazas utilizaron este acceso no autorizado a las cuentas comerciales de Facebook e Instagram para ejecutar anuncios maliciosos con fines de lucro y proporcionar malware adicional en lo siguiente publicidad maliciosa Campañas.
La interrupción de la campaña fue parte de acciones coordinadas por Facebook, Cloudflare y otros proveedores. Las muestras más antiguas descubiertas datan de julio de 2019.
El análisis de Proofpoint encontró versiones adicionales de CopperStealer dirigidas a otros proveedores de servicios importantes, incluidos manzana, Amazon, Bing, Google, PayPal, Tumblr y Twitter. El malware se dirige a grandes plataformas tecnológicas y proveedores de servicios en un intento de robar las credenciales de inicio de sesión para algunos de los servicios más populares de Internet.
Los investigadores creen que Copperstealer es una familia previamente indocumentada de la misma clase de malware como SilentFade, StressPaint, FacebookRobot y Scranos. Facebook atribuyó la creación de SilentFade a ILikeAD Media International Company Ltd en Hong Kong y, durante la conferencia Virus Bulletin 2020, reveló que es responsable de daños por más de $ 4 millones.
Los investigadores han descubierto sitios web publicitarios sospechosos, como sitios «KeyGen» o «Crack», incluido keygenninja[.]con, piratewares[.]com, startcrack[.]com y crackheap[.]net, alojando muestras que entregaron varias familias de malware, incluido CopperStealer.
«Estos sitios se anuncian para proporcionar ‘cracks’, ‘keygen’ y ‘seriales’ para eludir las restricciones de licencia de software legítimo. Sin embargo, hemos notado que estos sitios eventualmente proporcionan programas / aplicaciones potencialmente no deseados (PUP / PUA) o ejecutan otros ejecutables maliciosos capaces de instalar y descargar cargas útiles adicionales ”, dijeron los investigadores de Proofpoint.
El malware también contiene la capacidad de buscar y enviar un navegador guardado. contraseñas y utiliza cookies almacenadas para extraer un token de acceso de usuario de Facebook. Una vez que se recopila el token de acceso del usuario, el malware solicita varios puntos finales de API para Facebook e Instagram para recopilar contexto adicional, incluida una lista de amigos, las cuentas publicitarias configuradas para el usuario y una lista de las páginas a las que el usuario ha accedido. , según los investigadores.
Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint, dijo que las credenciales hacen que el mundo gire en lo que respecta al panorama actual de amenazas, y agregó que esto muestra lo mucho que los actores de amenazas tomarán para robar datos.
«El software malicioso para el robo de credenciales, las páginas de destino de las credenciales y el robo de cookies contribuyen a comprometer las cuentas, que luego pueden explotarse para identificar y lanzar ataques adicionales», dijo.
«Copperstealer rastrea las conexiones de los principales proveedores de servicios, como cuentas de redes sociales y motores de búsqueda, para propagar malware adicional u otros ataques. Estos son bienes que se pueden vender o aprovechar. Los usuarios deben habilitar la autenticación de dos factores para sus proveedores de servicios. «