CopperStealer-Malware infizierte in den ersten drei Monaten des Jahres 2021 bis zu 5.000 Hosts pro Tag

Cyber Security News

Forscher haben eine neu dokumentierte chinesische Malware namens CopperStealer gestört, die seit dem Beginn umfangreicher Gegenmaßnahmen Ende Januar bis zu 5.000 einzelne Hosts pro Tag infizierte und Anmeldedaten von Nutzern auf wichtigen Plattformen wie Facebook, Instagram, Apple, Amazon, Bing, Google, PayPal, Tumblr und Twitter stahl.

Sherrod DeGrippo, Senior Director of Threat Research bei Proofpoint, sagte, dass sie zuerst von dem Twitter-Nutzer TheAnalyst über die CopperStealer-Malware informiert wurden. Sie sagte, dass CopperStealer, das Proofpoint in einem Blogbeitrag ausführlich beschreibt, viele der gleichen Ziel- und Verbreitungsmethoden aufweist wie SilentFade, eine Malware-Familie chinesischer Herkunft, die erstmals 2019 von Facebook gemeldet wurde.

DeGrippo sagte, dass die Forscher von Proofpoint, um CopperStealer entgegenzuwirken, die Malware zurückentwickelt haben. Sie taten dann das Gleiche mit dem Domain-Generierungsalgorithmus (DGA), der in der Malware verwendet wird, so dass sie den Angreifern bei der Registrierung von Domains, die von der Malware verwendet werden, mindestens einen Tag zuvor zuvorkommen konnten. Anschließend wandten sie sich an die Domain-Registrare, die diese Domains verwalten, und in den meisten Fällen stimmten die Registrare zu, die Domains vom Netz zu nehmen.

“Dies waren die Domains, die die Malware benutzte, um Anweisungen zu geben, um Anmeldedaten zu sammeln”, sagte DeGrippo. “Wenn es um die aktuelle Bedrohungslandschaft geht, sind Anmeldedaten das A und O. Dies zeigt, wie weit die Bedrohungsakteure gehen, um wertvolle Anmeldedaten zu stehlen. CopperStealer hat es auf Logins von großen Dienstanbietern abgesehen, wie z. B. Social Media- und Suchmaschinen-Konten, um zusätzliche Malware oder andere Angriffe zu verbreiten. Dies sind Waren, die verkauft oder missbraucht werden können. Benutzer sollten die Zwei-Faktor-Authentifizierung bei ihren Dienstanbietern einschalten.”

CopperStealer stellt eine extrem fähige Malware dar, die ihren Nutzern eine Vielzahl von Möglichkeiten bietet, sensible Daten zu exfiltrieren und zusätzliche Malware abzulegen, sagte Chris Morgan, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. Morgan sagte, dass das gewählte Ziel, das mehrere verschiedene Social-Media-Anbieter umfasst, wahrscheinlich die Bemühungen des Malware-Betreibers darstellt, gezielte Konten zu übernehmen, die Bedrohungsakteure für weitere bösartige Zwecke nutzen können.

Morgan bestätigte, dass Bedrohungsakteure aus der Volksrepublik China (VRC) für die Erstellung von CopperStealer verantwortlich gemacht werden. Morgan sagte, dass diese Bedrohungsakteure zuvor kompromittierte Social-Media-Konten verwendet haben, um Fehlinformationen zu verbreiten und Operationen zu strategisch wichtigen Ereignissen in der VR China zu beeinflussen. Beispiele hierfür sind die Proteste in Hongkong 2019, bei denen die Ereignisse als “von der CIA finanzierte Unruhen” beschrieben wurden.

“Es ist realistisch möglich, dass ähnliche Motivationen hinter der CopperStealer-Kampagne stehen, die die Konten zur Verbreitung von Fehlinformationen nutzt”, sagte Morgan. “Die von Proofpoint und den Dienstanbietern ergriffenen Maßnahmen werden zu einer erheblichen kurzfristigen (ein bis drei Monate) Unterbrechung dieser Kampagne führen; der Ersatz der Infrastruktur sollte für die Bedrohungsakteure jedoch relativ einfach sein. Die Verbreitungsmethoden für CopperStealer beruhen darauf, dass Benutzer mit Torrent-Seiten interagieren, die kostenlose Versionen legitimer Software anbieten, um teure Lizenzgebühren zu vermeiden. Benutzer sollten es vermeiden, mit inoffiziellen Websites zu interagieren und Software von dort herunterzuladen, unabhängig davon, ob es sich um eine Unternehmens- oder private Website handelt.”

Joseph Carson, Chief Security Scientist und beratender CISO bei Thycotic, fügte hinzu, dass CopperStealer dafür bekannt ist, Passwörter von bekannten Browsern zu stehlen, und es ist eine Erinnerung daran, dass das Speichern sensibler Daten innerhalb des Browsers zu einem großen Sicherheitsrisiko geworden ist, besonders wenn Mitarbeiter Opfer dieser Malware werden.

“Dies könnte dazu führen, dass sich die Kriminellen Zugang zu Ihrem Unternehmen verschaffen”, so Carson. “Während das Speichern von nicht-sensiblen Daten in einem Browser in Ordnung ist, ist es wichtig, dass Unternehmen über Passwort-Manager, wie sie in Browsern enthalten sind, hinausgehen. Sie sollten zu einem privilegierten Zugriffsschutz übergehen, der mehr Schutz und zusätzliche Sicherheitskontrollen bietet. Es ist wichtig, dass Passwörter in den Hintergrund rücken und dass sie nicht die einzige Sicherheitskontrolle sind, die das Unternehmen schützt.”

Proofpoint hat im Blog ein Python3-Skript veröffentlicht, mit dem Sicherheitsteams prüfen können, ob einer ihrer Rechner die von der Malware infizierten Domains besucht hat. Wenn dies der Fall ist, so DeGrippo, wird Unternehmen empfohlen, Incident Response auf diesen Rechnern durchzuführen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com