Investigadores de la firma de ciberseguridad Proofpoint han
descubierto una nueva cepa de malware capaz de robar credenciales de usuario de
Google, Facebook, Amazon, Apple y otros servicios en línea.
Los investigadores le han dado el nombre de CooperStealer al
malware en sí y es un ladrón de contraseñas y cookies que se encuentra en
desarrollo activo y que también contiene una función que permite a
sus operadores entregar y descargar cargas útiles maliciosas adicionales a los dispositivos
infectados.
Sin embargo, al mismo tiempo los atacantes detrás de esta
variedad de malware han utilizado cuentas comprometidas para ejecutar anuncios
maliciosos y entregar otro malware en campañas de publicidad maliciosa.
Las primeras muestras de CooperStealer se remontan a julio
de 2019 y durante su investigación, Proofpoint analizó una muestra dirigida a
cuentas comerciales y de anunciantes en Facebook e Instagram. Sin embargo, la
empresa también identificó versiones adicionales del malware que apuntan a
Bing, PayPal, Tumblr y Twitter.
El malware CooperStealer
Durante su investigación, Proofpoint notó que CooperStealer
utiliza muchos de los mismos métodos de focalización y entrega que la familia
de malware de origen chino SilentFade, que Facebook informó por primera vez en
2019 y fue responsable de más de $ 4 millones en daños. Por esta razón, la
firma cree que CooperStealer es una familia previamente indocumentada dentro de
la misma clase de malware que SilentFade, StressPaint, FacebookRobot y Scranos.
El propio CooperStealer se distribuye en sitios web
sospechosos anunciados como KeyGen y sitios de crack como keygenninja [.] Com,
piratewares [.] Com, startcrack [.] Com y crackheap [.] Net. Si bien estos
sitios se presentan como capaces de ayudar a los usuarios a eludir las
restricciones de licencia de software legítimo, en última instancia
proporcionan programas / aplicaciones potencialmente no deseados (PUP / PUA) o
ejecutan ejecutables maliciosos capaces de descargar e instalar cargas útiles
adicionales para ser explotadas por atacantes y vulnerar nuestro sistema.
Proofpoint también trabajó con investigadores de Facebook,
Cloudflare y otros proveedores de servicios durante su investigación para
coordinar acciones disruptivas. Por ejemplo, Cloudflare colocó una página
intersticial de advertencia frente a los dominios maliciosos y creó un sumidero
para dos de los sitios antes de que el actor de la amenaza pudiera
registrarlos.
Un sumidero es un método que se utiliza para limitar la
capacidad de un atacante de recopilar datos sobre las víctimas y, al mismo tiempo,
permite a los investigadores obtener visibilidad de la demografía de las
víctimas. Durante las primeras 24 horas de funcionamiento del sumidero,
registró 69.992 solicitudes HTTP de 5.046 direcciones IP únicas que se
originaron en 159 países diferentes, siendo los cinco países principales según
las infecciones únicas India, Indonesia, Brasil, Pakistán y Filipinas.
La forma más fácil de evitar ser víctima del malware
CooperStealer es evitar visitar KeyGen y sitios para piratear software.
