Chercheur en entreprise de cybersécurité Point de preuve découvert un nouveau Malware Dette capable de voler les informations d’identification des utilisateurs de Google, Facebook, Amazon, Apple et d’autres services en ligne.
Le malware lui-même porte le nom CooperStealer par les chercheurs et c’est un voleur de mots de passe et de cookies qui est en développement actif et comprend également une fonction de téléchargement que ses opérateurs peuvent utiliser pour fournir une charge malveillante supplémentaire aux appareils infectés.
Dans le même temps, les acteurs de la menace derrière cette charge de logiciels malveillants ont utilisé des comptes compromis pour être exécutés publicités malveillantes et livrer d’autres malwares dans Campagnes publicitaires.
Les premiers échantillons de CooperStealer datent de juillet 2019 et, au cours de son enquête, Proofpoint a analysé un échantillon ciblant des comptes professionnels et publicitaires sur Facebook et Instagram. Cependant, la société a également identifié des versions supplémentaires du malware ciblant Bing, PayPal, Tumblr et Twitter.
Logiciel malveillant CooperStealer
Au cours de son enquête, Proofpoint a découvert que CooperStealer utilise bon nombre des mêmes méthodes de ciblage et de livraison que la famille de logiciels malveillants SilentFade basée en Chine, que Facebook a signalé pour la première fois en 2019 et était responsable de plus de 4 millions de dollars de dommages. Pour cette raison, la société pense que CooperStealer est une famille auparavant non documentée appartenant à la même classe de logiciels malveillants que SilentFade, StressPaint, FacebookRobot et Scranos.
CooperStealer lui-même est distribué sur des sites Web suspects annoncés comme KeyGen et KeyGen Des fissures comme keygenninja[.]com, piratewares[.]com, startcrack[.]com et crackheap[.]Réseau. Bien que ces sites Web permettent aux utilisateurs de contourner les restrictions de licence des logiciels légitimes, ils fournissent finalement des programmes / applications potentiellement indésirables (PUP / PUA) ou exécutent des fichiers exécutables malveillants qui peuvent être utilisés pour télécharger et installer des charges utiles supplémentaires.
Proofpoint a également travaillé avec des chercheurs de Facebook, Cloudflare et d’autres fournisseurs de services au cours de son enquête pour coordonner les mesures perturbatrices. Par example, Cloudflare a placé une page interstitielle d’avertissement devant les domaines malveillants et a créé un gouffre pour deux des sites Web avant qu’ils ne puissent être enregistrés par l’acteur de la menace.
Un gouffre est une méthode utilisée pour limiter la capacité d’un attaquant à collecter des données sur les victimes tout en fournissant aux chercheurs un aperçu de la démographie des victimes. Au cours des 24 premières heures de fonctionnement du gouffre, 69 992 requêtes HTTP provenant de 5 046 adresses IP uniques de 159 pays différents ont été enregistrées. Les cinq principaux pays sur la base d’infections claires sont l’Inde, l’Indonésie, le Brésil, le Pakistan et les Philippines.
Le moyen le plus simple d’éviter de devenir victime du malware CooperStealer est d’éviter de visiter KeyGen et de pirater des sites Web en logiciels piratés.
plus de BleepingOrdinateur
