CopperStealer, il malware che ruba account Google, Apple, Amazon e Facebook: che c’è da sapere - Cyber Security 360

L'ANALISI TECNICA

CopperStealer, il malware che ruba account Google, Apple, Amazon e Facebook: che c’è da sapere

Si chiama CopperStealer il malware specializzato nel furto delle password memorizzate nei principali browser Web che ha consentito ai cyber criminali di compromettere numerosi account aziendali attivi su Facebook, Apple, Amazon e Google e usarli per attività criminali. Ecco i dettagli e i consigli per difendersi

23 Mar 2021
D
Manuel De Stefano

IT Process Expert

Un nuovo malware, precedentemente non documentato ma attivo dal 2019, denominato CopperStealer, ha rubato password e cookie compromettendo account di grandi aziende attivi su Facebook, Apple, Amazon e Google, consentendo poi ai suoi creatori di riutilizzarli per attività criminali informatiche, in particolare per distribuire annunci dannosi e fornire ulteriore malware in successive campagne di malvertising.

CopperStealer viene distribuito tramite falsi siti di cracking del software e note piattaforme di distribuzione malware come keygenninja[.]com, piratewares[.]com, startcrack[.]com e crackheap[.]net. Oltre a “crack”, “codici seriali” e “keygen” usati dai cyber criminali per aggirare le restrizioni d’uso di software a pagamento, questi siti distribuiscono anche programmi e applicazioni potenzialmente indesiderati (PUP/PUA) o eseguibili dannosi in grado di installare e scaricare payload aggiuntivi.

CopperStealer, inoltre, integra a sua volta una funzione di downloader che consente ai suoi operatori di fornire ulteriori payload dannosi ai dispositivi infetti.

Tutti i dettagli di CopperStealer

Sebbene non particolarmente sofisticato, il malware CopperStealer è particolarmente insidioso visto il target a cui si rivolge.

Scoperto dai ricercatori Brandon Murphy, Dennis Schwarz e Jack Mott del team di ricerca sulle minacce di Proofpoint, CopperStealer prende principalmente di mira gli account business su Facebook e Instagram, oltre a quelli degli inserzionisti attivi sulle due piattaforme social.

Durante le loro analisi, però, i ricercatori hanno identificato anche altre varianti del malware in grado di colpire altre importanti piattaforme, tra cui Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter.

Come funziona il malware

CopperStealer può dunque essere classificato come un password stealer in grado di esfiltrare le credenziali di accesso degli utenti memorizzate nei browser Google Chrome, Edge, Firefox, Yandex e Opera.

Inoltre, è in grado di rubare anche i cookie di navigazione memorizzati nei browser e, tramite questi, riesce a recuperare anche il token di accesso a Facebook per raccogliere informazioni aggiuntive, tra cui la lista di amici della vittima, informazioni sugli account pubblicitari e l’elenco di pagine Facebook seguite.

Nei suoi attacchi, CopperStealer recupera una configurazione di download dal server C2 che consente al malware di estrarre un archivio chiamato “xldl.dat”, che sembra essere un gestore di download legittimo chiamato Xunlei e distribuito da Xunlei Networking Technologies Ltd.. CopperStealer, quindi, utilizza un’API esposta dall’applicazione Xunlei per scaricare la configurazione per il binario di follow-up.

Queste particolari caratteristiche malevoli rendono CopperStealer molto simile a SilentFade, un altro malware progettato per rubare i cookie del browser e diffondere annunci dannosi attraverso account Facebook compromessi, causando danni per un importo stimato di circa 4 milioni di dollari.

Soluzioni di mitigazione del rischio

La diffusione di CopperStealer consente ai criminal hacker e ai truffatori di condurre attacchi di impersonificazione e portare a termine frodi mirate al furto di identità.

Il consiglio per tutti gli utenti è quindi quello di attivare, se disponibile, l’autenticazione a due fattori su tutti i propri account social e sui vari servizi online.

Una risorsa aggiuntiva per sapere se il proprio account è stato compromesso è il sito Have i been pwned: è sufficiente inserire l’indirizzo di posta elettronica nell’apposito campo di testo e verificare se la stessa è presente in database illegali.

Allo stesso modo, collegandosi a questo link è invece possibile controllare se anche la password del proprio account risulta già essere presente in database illegali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3