CopperStealer-Malware zielt auf Facebook- und Instagram-Business-Konten

Cyber Security News

Ein bisher nicht dokumentierter Passwort- und Cookie-Stealer kompromittiert seit 2019 Konten von “Big Guns” wie Facebook, Apple, Amazon und Google und nutzt sie dann für cyberkriminelle Aktivitäten.

Eine bisher undokumentierte Malware hat seit Juli 2019 in aller Stille Online-Konten von Werbetreibenden und Nutzern von Facebook, Apple, Amazon, Google und anderen Web-Giganten gekapert und sie dann für ruchlose Aktivitäten genutzt, haben Forscher herausgefunden.

Unter dem Namen CopperStealer agiert die Malware ähnlich wie die zuvor entdeckte, von China unterstützte Malware-Familie SilentFade, so ein diese Woche online veröffentlichter Bericht der Proofpoint-Forscher Brandon Murphy, Dennis Schwarz, Jack Mott und des Proofpoint Threat Research Teams.

“Unsere Untersuchung deckte einen aktiv entwickelten Passwort- und Cookie-Stealer mit einer Downloader-Funktion auf, der in der Lage ist, zusätzliche Malware zu liefern, nachdem er die Stealer-Aktivität ausgeführt hat”, schreiben sie.

CopperStealer ist nicht nur in der gleichen Klasse wie SilentFade – dessen Entwicklung Facebook der in Hongkong ansässigen ILikeAD Media International Company Ltd. zuschreibt – sondern auch in der gleichen Klasse wie andere Malware wie StressPaint, FacebookRobot und Scranos. Forscher haben insbesondere Stressfade dafür verantwortlich gemacht, Konten von Social-Media-Giganten wie Facebook zu kompromittieren und diese dann für cyberkriminelle Aktivitäten wie das Schalten irreführender Anzeigen zu nutzen, wodurch ein Schaden von 4 Millionen US-Dollar entstanden ist.

“Frühere Untersuchungen von Facebook und Bitdefender haben ein schnell wachsendes Ökosystem von Malware auf chinesischer Basis aufgedeckt, das sich auf die Monetarisierung von kompromittierten Konten bei sozialen Medien und anderen Diensten konzentriert”, schreiben sie. “Die Ergebnisse dieser Untersuchung deuten darauf hin, dass CopperStealer ein weiterer Teil dieses sich ständig verändernden Ökosystems ist.”

Konkret analysierten die Forscher eine Probe der Malware, die auf Facebook- und Instagram-Geschäfts- und Werbekonten abzielte. Sie haben jedoch auch zusätzliche Versionen von CopperStealer identifiziert, die auf andere große Dienstanbieter abzielen, einschließlich Apple, Amazon, Bing, Google, PayPal, Tumblr und Twitter, sagten sie.

Proofpoint-Forscher entdeckten CopperStealer, nachdem sie verdächtige Websites beobachtet hatten, die als “KeyGen”- oder “Crack”-Seiten beworben wurden – darunter keygenninja[.]com, piratewares[.]com, startcrack[.]com, und crackheap[.]net-hosting-Samples, die mehrere Malware-Familien auslieferten, darunter CopperStealer.

Die Seiten gaben vor, “Cracks”, “Keygen” und “Serials” anzubieten, um die Lizenzbeschränkungen legitimer Software zu umgehen, so die Forscher. Was sie stattdessen anboten, waren potenziell unerwünschte Programme/Applikationen (PUP/PUA) oder bösartige ausführbare Dateien, die zusätzliche Nutzlasten installieren und herunterladen konnten, so die Forscher.

Die Forscher von Proofpoint arbeiteten mit Facebook, Cloudflare und anderen Dienstanbietern zusammen, um CopperStealer zu stören und abzufangen, damit sie seine Methoden kennenlernen konnten, sagten sie. Diese Aktivität beinhaltete, dass Cloudflare “eine Warnseite vor den bösartigen Domains platzierte und ein Sinkhole für zwei der bösartigen Domains einrichtete, bevor sie von dem Bedrohungsakteur registriert werden konnten”, schrieben die Forscher. Das Sinkhole schränkte die Möglichkeiten der Bedrohungsakteure ein, Opferdaten zu sammeln, und verschaffte den Forschern gleichzeitig Einblicke in die Demografie der Opfer sowie in das Verhalten und den Umfang der Malware.

Die Forscher fanden heraus, dass CopperStealer zwar nicht sehr ausgeklügelt ist und nur über “grundlegende Fähigkeiten” verfügt, aber dennoch sehr wirkungsvoll sein kann. In den ersten 24 Stunden des Betriebs protokollierte das Sinkhole 69.992 HTTP-Anfragen von 5.046 eindeutigen IP-Adressen, die aus 159 Ländern stammen und 4.655 eindeutige Infektionen repräsentieren, so die Forscher. Die fünf Länder, die am stärksten von der Malware betroffen waren, waren Indien, Indonesien, Brasilien, Pakistan und die Philippinen, so die Forscher.

Bei seinen Angriffen ruft CopperStealer eine Download-Konfiguration vom c2-Server ab, die ein Archiv namens “xldl.dat” extrahiert, bei dem es sich scheinbar um einen legitimen Download-Manager namens Xunlei von Xunlei Networking Technologies Ltd. handelt, der bereits 2013 mit Malware in Verbindung gebracht wurde. CopperStealer verwendet dann eine API, die von der Xunlei-Anwendung offengelegt wird, um die Konfiguration für die nachfolgende Binärdatei herunterzuladen, schreiben die Forscher.

Eine der Payloads, die CopperStealer nach Erkenntnissen der Forscher in jüngster Zeit liefert, ist Smokeloader, eine modulare Backdoor. In der Vergangenheit hat die Malware jedoch eine Vielzahl von Payloads verwendet, die von einer Handvoll URLs geliefert wurden, so die Forscher.

Die Forscher von Proofpoint werden weiterhin dazu beitragen, die aktuellen Aktivitäten von CopperStealer zu unterbrechen und die Bedrohungslandschaft zu überwachen, um zukünftige Entwicklungen der Malware zu identifizieren und zu erkennen, so die Forscher.

Registrieren Sie sich für diese LIVE-Veranstaltung: 0-Day Disclosures: Good, Bad & Ugly: Am 24. März um 14 Uhr ET befasst sich Threatpost damit, wie Schwachstellen-Enthüllungen ein Risiko für Unternehmen darstellen können. Diskutiert werden sollen Microsoft 0-Days, die in Exchange-Servern gefunden wurden. Schließen Sie sich den 0-Day-Jägern von Intel Corp. und erfahrenen Bug-Bounty-Forschern an, die die 0-Day-Ökonomie entwirren und auspacken werden, was für alle Unternehmen auf dem Spiel steht, wenn es um den Offenlegungsprozess geht. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mi., 24. März.

Einige Teile dieses Artikels stammen aus:
threatpost.com