Un tuit publicado el pasado 29 de enero por 'TheAnalyst' llevó a Proofpoint a iniciar una investigación en la que ha descubierto un malware que ha llegado a infectar hasta 5.000 hosts al día para robar credenciales de usuarios de Facebook, Instagram, Google, Paypal, Amazon y otros servicios online.
Los investigadores de la compañía de ciberseguridad han bautizado a este malware como CooperStealer y es un ladrón de contraseñas y cookies que también incluye una función que permite a los atacantes instalar cargas útiles maliciosas en los dispositivos. Además, los ciberdelincuentes han utilizado cuentas comprometidas para ejecutar anuncios maliciosos y entregar otro malware en campañas de publicidad fraudulentas.
"Si bien analizamos una muestra dirigida a anunciantes y cuentas corporativas de Facebook e Instagram, también identificamos versiones adicionales dirigidas a otros proveedores de servicios importantes, incluidos Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter", ha señalado Proofpoint en una publicación de su blog.
Según indica, CooperStealer utiliza muchos de los métodos que usa SilentFade, una familia de malware de origen chino reportada por primera vez por Facebook en 2019 y que ha causado unos daños de más de 4 millones dólares. Por esta razón, la firma de ciberseguridad cree que CooperStealer es una familia previamente indocumentada de la misma clase de malware que SilentFade, StressPaint, FacebookRobot y Scranos.
Proofpoint ha conseguido interrumpir la actividad de CooperStealer y ha trabajado con algunas de las compañías afectadas para profundizar sobre dicha amenaza y compartir información.
Cómo actuaba CooperStealer
Siguiendo la información de Proofpoint, CopperStealer utilizaba las cookies almacenadas de los navegadores para recuperar el token de acceso de usuario. Una vez obtenido el token, el malware solicitaba información adicional a Facebook e Instagram para recopilar todos los datos posibles, como una lista de contactos, cualquier cuenta de publicidad configurada para el usuario y páginas a las que se le había concedido acceso.
La compañía también explica que CooperStealer se distribuía en páginas web sospechosas anunciadas como portales KeyGen o Crack, incluidos keygenninja [.] Com, piratewares [.] Com, startcrack [.] Com y crackheap [.] Net. "Estos sitios se anuncian a sí mismos para ofrecer 'cracks', 'keygen' y 'seriales' para eludir las restricciones de licencia de software legítimo. Sin embargo, observamos que finalmente estos sitios proporcionan programas / aplicaciones potencialmente no deseados (PUP / PUA) o ejecutan otros ejecutables maliciosos capaces de instalar y descargar cargas útiles adicionales", agrega.
Según concluye Proofpoint, CopperStealer no es el ladrón de contraseñas más perverso que existe, pero ha demostrado que, incluso con capacidades básicas, puede tener un impacto importante. "Investigaciones anteriores de Facebook y Bitdefender han sacado también a la luz todo un ecosistema de malware en China que aumenta rápidamente y se centra en la monetización de cuentas de redes sociales y otros servicios. Los hallazgos de esta investigación apuntan a que CopperStealer es otra pieza de este ecosistema en constante cambio", asegura la compañía.
El riesgo del robo de credenciales
"Las credenciales son de extremada importancia en el actual panorama de amenazas, y nos demuestran hasta dónde son capaces de llegar los ciberdelincuentes para hacerse con la valiosa información que hay en ellas", ha advertido Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint.
"El robo de credenciales por malware, de cookies o el phishing en páginas de destino contribuyen a comprometer cuentas de usuario que, posteriormente, pueden ser utilizadas para suplantar identidades y lanzar otro tipo de ataques, por lo que recomendamos a los usuarios activar la autenticación de doble factor con estos servicios", ha añadido DeGrippo.