Le malware CopperStealer a infecté jusqu’à 5000 hôtes par jour au début de 2021

  • FrançaisFrançais


  • Les chercheurs ont perturbé un logiciel malveillant nouvellement documenté basé en Chine appelé CopperStealer qui, depuis que des contre-mesures importantes ont commencé à la fin du mois de janvier, a infecté jusqu’à 5000 hôtes individuels par jour, volant les informations d’identification des utilisateurs sur les principales plates-formes telles que Facebook, Instagram, Apple, Amazon, Bing, Google, PayPal, Tumblr et Twitter.

    Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint, a déclaré avoir été informé pour la première fois du malware CopperStealer par un utilisateur de Twitter. TheAnalyst. Elle a déclaré que CopperStealer, que Proofpoint décrit en détail dans un article de blog, présente bon nombre des mêmes méthodes de ciblage et de livraison que SilentFade, une famille de logiciels malveillants d’origine chinoise rapportée pour la première fois par Facebook en 2019.

    DeGrippo a déclaré que pour contrer CopperStealer, les chercheurs de Proofpoint ont procédé à une ingénierie inverse du malware. Ils ont ensuite fait de même avec l’algorithme de génération de domaine (DGA) utilisé dans le malware, afin qu’ils puissent empêcher les attaquants d’enregistrer les domaines utilisés par le malware au moins un jour avant que les attaquants puissent les enregistrer. Ils sont ensuite allés aux bureaux d’enregistrement de domaine qui gèrent ces domaines et, dans la plupart des cas, les bureaux d’enregistrement ont accepté de les supprimer.

    «C’étaient les domaines que le malware utilisait pour donner des instructions pour récupérer les informations d’identification», a déclaré DeGrippo. «Les informations d’identification font tourner le monde en ce qui concerne le paysage actuel des menaces, ce qui montre les efforts que mettront les acteurs de la menace pour voler des données d’identification précieuses. CopperStealer s’attaque aux connexions de grands fournisseurs de services comme les réseaux sociaux et les comptes de moteur de recherche pour propager des logiciels malveillants supplémentaires ou d’autres attaques. Ce sont des produits qui peuvent être vendus ou mis à profit. Les utilisateurs doivent activer l’authentification à deux facteurs pour leurs fournisseurs de services. »

    CopperStealer représente un malware extrêmement performant, offrant à ses utilisateurs une grande variété d’options pour exfiltrer des données sensibles et supprimer des logiciels malveillants supplémentaires, a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows. Morgan a déclaré que sa cible de choix, qui comprend plusieurs fournisseurs de médias sociaux différents, représente probablement les efforts de l’opérateur de logiciels malveillants pour prendre le contrôle de comptes ciblés que les acteurs de la menace peuvent utiliser à d’autres fins malveillantes.

    Morgan a confirmé que les acteurs menaçants de la République populaire de Chine (RPC) sont attribués à la création de CopperStealer. Morgan a déclaré que ces acteurs de la menace avaient déjà utilisé des comptes de réseaux sociaux compromis pour diffuser de la désinformation et influencer les opérations sur les événements de la RPC d’importance stratégique. Les exemples incluent les manifestations de 2019 à Hong Kong, qui ont décrit les événements comme des «émeutes financées par la CIA».

    «Il est de manière réaliste possible qu’il existe des motivations similaires derrière la campagne CopperStealer, en utilisant les comptes pour répandre de la désinformation», a déclaré Morgan. «Les mesures prises par Proofpoint et les fournisseurs de services entraîneront une perturbation significative à court terme (un à trois mois) de cette campagne; cependant, le remplacement des infrastructures devrait être relativement simple pour les acteurs de la menace. Les méthodes de livraison de CopperStealer reposent sur l’interaction des utilisateurs avec des sites torrent offrant des versions gratuites de logiciels légitimes, qui sont attrayantes pour éviter des frais de licence coûteux. Les utilisateurs doivent éviter d’interagir et de télécharger des logiciels à partir de sites non officiels, que ce soit sur un site Web d’entreprise ou personnel. »

    Joseph Carson, scientifique en chef de la sécurité et RSSI conseil chez Thycotic, a ajouté que CopperStealer était connu pour voler les mots de passe de navigateurs bien connus, et c’est un rappel que le stockage de données sensibles dans le navigateur est devenu un risque de sécurité majeur, en particulier si les employés sont victimes. de ce malware.

    «Cela pourrait amener les criminels à accéder à votre organisation», a déclaré Carson. «Bien que le stockage de données non sensibles dans un navigateur soit acceptable, il est important que les organisations dépassent les gestionnaires de mots de passe, tels que ceux des navigateurs. Ils devraient passer à la sécurité d’accès privilégié qui ajoute plus de protection et des contrôles de sécurité supplémentaires. Il est important d’aider à déplacer les mots de passe en arrière-plan et qu’ils ne soient pas le seul contrôle de sécurité protégeant votre entreprise. »

    Proofpoint a publié un script Python3 sur le blog que les équipes de sécurité peuvent utiliser pour voir si l’une de leurs machines avait visité les domaines infectés par le malware. Si tel est le cas, DeGrippo a déclaré que les entreprises sont invitées à réagir aux incidents sur ces machines.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *