Proofpoint ontmantelt CopperStealer met Facebook en Cloudflare

Eind januari 2021 heeft het onderzoeksteam van Proofpoint CopperStealer, een actieve cookie- en wachtwoordsteler, onderzocht en uiteindelijk ontmanteld. CopperStealer is een relatief onbekende malware-familie die banden heeft met SilentFade, StressPaint, FacebookRobot en Scranos. Proofpoint werkte samen met Facebook, Cloudflare en andere dienstverleners om de activiteiten van CopperStealer te ontregelen.

De malware werd geïdentificeerd in 4.655 unieke gevallen in 159 landen, met India, Indonesië, Brazilië, Pakistan en de Filipijnen als belangrijkste landen. In een nieuwe blog deelt Proofpoint inzichten over de dreiging. Daarnaast worden voorbeelden van CopperStealer-aanvallen geanalyseerd die gericht waren op zakelijke en adverteerdersaccounts op Facebook en Instagram. Het doel van de aanvallen was om Facebook-wachtwoorden te stelen die waren opgeslagen in Chrome, Edge, Yandex, Opera en FireFox. Proofpoint denkt dat cybercriminelen deze ongeautoriseerde toegang vervolgens gebruikten om schadelijke advertenties op de platforms te plaatsen om geld te verdienen, zoals Facebook eerder heeft gemeld.

Belangrijkste feiten:

  • Bedreiging voor wachtwoorden en persoonlijke gegevens: Naast Facebook-wachtwoorden gebruikte CopperStealer ook cookies die in de browser waren opgeslagen om een User Access Token van Facebook op te halen. Zodra het token was verkregen, vroeg de malware aanvullende informatie op bij Facebook en Instagram om meer context te verzamelen, zoals een lijst met vrienden, eventuele advertentieaccounts die voor de gebruiker waren geconfigureerd en een lijst met pagina's waarvoor de gebruiker toegang had gekregen.
  • Meer dan Facebook: Uit analyse van Proofpoint kwamen aanvullende CopperStealer-versies aan het licht die zich richten op andere belangrijke dienstverleners, waaronder Apple, Amazon, Bing, Google, PayPal, Tumblr en Twitter. Proofpoint werkte nauw samen met enkele van hen om deze dreiging verder te onderzoeken, een sinkhole te creëren en informatie te delen. De malware richt zich op grote tech-platforms en -dienstverleners en probeert inloggegevens te stelen voor populairste diensten op het internet.
  • Hoe gebruikers worden geïnfecteerd: Gebruikers worden geïnfecteerd wanneer ze softwarebundels downloaden van bepaalde websites. Onderzoekers van Proofpoint hebben verdachte websites ontdekt die worden geadverteerd als "KeyGen"- of "Crack"-sites, waaronder keygenninja[.]com, piratewares[.]com, startcrack[.]com, en crackheap[.]net. Op deze sites werden samples gehost met daarin meerdere malware-families, waaronder CopperStealer. Deze sites adverteren zogenaamd "cracks", "keygen" en "serials" om licentiebeperkingen van legitieme software te omzeilen.
  • CopperStealers verleden: Proofpoint identificeerde CopperStealer in juli 2019 en tot op heden zijn er meer dan 80 verschillende versies waargenomen. De analyse van het onderzoeksteam stelde vast dat de verspreiding van nieuwe versies vanaf augustus 2020 in frequentie toenam en versnelde tussen oktober 2020 en februari 2021, waarbij elke maand meerdere updates werden uitgebracht.
  • Details van de sinkhole: In de eerste 24 uur dat het sinkhole actief was, registreerde het 69.992 HTTP Requests. Deze waren afkomstig van 5.046 unieke IP-adressen uit 159 landen die 4.655 infecties vertegenwoordigden. De top vijf landen op basis van unieke infecties waren India, Indonesië, Brazilië, Pakistan en de Filippijnen. 

"Inloggegevens houden de wereld draaiende binnen het huidige dreigingslandschap en dit laat zien hoe ver aanvallers gaan om waardevolle gegevens te stelen. Credential stealer-malware, credential phish-landingspagina's en het stelen van cookies dragen allemaal bij aan het in gevaar brengen van accounts. Overgenomen accounts kunnen vervolgens worden gebruikt om zich als die persoon voor te doen en verdere aanvallen uit te voeren", aldus Sherrod DeGrippo, Senior Director of Threat Research bij Proofpoint. "CopperStealer gaat achter de inloggegevens van grote dienstverleners aan, zoals accounts van sociale media en zoekmachines, om aanvullende malware of andere aanvallen te verspreiden. Dit zijn goederen die kunnen worden verkocht of gebruikt. Gebruikers moeten twee-factor-authenticatie inschakelen voor dit soort dienstverleners."

De aanvallen van CopperStealer tonen eens te meer aan dat cybercriminelen manieren blijven vinden om geld te verdienen met accounts voor sociale media. Voor de verdediging hiertegen is een mensgerichte aanpak van cyberbeveiliging en wachtwoordbescherming van groot belang.