Menu

Hati - Hati!! CopperStealer Malware Menargetkan Akun Bisnis Facebook dan Instagram

Hati - Hati!! CopperStealer Malware Menargetkan Akun Bisnis Facebook dan Instagram

 

darkclownsecurity.com - sangat harus berhati hati Pencuri kata sandi dan cookie yang sebelumnya tidak berdokumen telah membahayakan akun-akun senjata besar seperti Facebook, Apple, Amazon, dan Google sejak 2019 dan kemudian menggunakannya untuk aktivitas kejahatan dunia maya.

Malware yang hingga kini tidak terdokumentasi telah diam-diam membajak akun online pengiklan dan pengguna Facebook, Apple, Amazon, Google, dan raksasa web lainnya sejak Juli 2019 dan kemudian menggunakannya untuk aktivitas jahat, demikian temuan para peneliti.

Dijuluki CopperStealer, malware tersebut bertindak mirip dengan keluarga malware yang ditemukan sebelumnya, SilentFade yang didukung China, menurut laporan dari peneliti Proofpoint Brandon Murphy, Dennis Schwarz, Jack Mott dan Tim Riset Ancaman Proofpoint yang dipublikasikan secara online minggu ini.

CopperStealer berada di kelas yang sama tidak hanya dengan SilentFade — kreasi yang dikaitkan Facebook ke ILikeAD Media International Company Ltd yang berbasis di Hong Kong - tetapi juga malware lain seperti StressPaint, FacebookRobot, dan Scranos. Para peneliti telah menganggap Stressfade secara khusus bertanggung jawab untuk mengkompromikan akun raksasa media sosial seperti Facebook dan kemudian menggunakannya untuk terlibat dalam aktivitas kejahatan dunia maya, seperti menjalankan iklan yang menipu, hingga kerugian sebesar $ 4 juta, catat para peneliti.

"Penelitian sebelumnya dari Facebook dan Bitdefender telah mengungkap ekosistem malware berbasis di China yang meningkat pesat yang berfokus pada monetisasi media sosial yang dikompromikan dan akun layanan lainnya," tulis mereka. “Temuan dari investigasi ini menunjukkan bahwa CopperStealer adalah bagian lain dari ekosistem yang terus berubah ini.”

Secara khusus, peneliti menganalisis sampel malware yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram. Namun, mereka juga mengidentifikasi versi tambahan dari CopperStealer yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr dan Twitter, kata mereka.

Peneliti Proofpoint menemukan CopperStealer setelah mereka mengamati situs web mencurigakan yang diiklankan sebagai situs "KeyGen" atau "Crack" –termasuk keygenninja [.] Com, piratewares [.] Com, startcrack [.] Com, dan crackheap [.] Sampel hosting net yang memberikan beberapa keluarga malware yang menyertakan CopperStealer.

Situs-situs tersebut menawarkan “crack”, “keygen” dan “serials” untuk menghindari pembatasan lisensi perangkat lunak yang sah, catat para peneliti. Apa yang mereka sediakan adalah Program / Aplikasi yang Mungkin Tidak Diinginkan (PUP / PUA) atau program jahat yang dapat menginstal dan mengunduh muatan tambahan, kata mereka.

Peneliti Proofpoint bekerja dengan Facebook, Cloudflare, dan penyedia layanan lainnya untuk mengganggu dan mencegat CopperStealer sehingga mereka dapat mempelajari caranya, kata mereka. Aktivitas ini termasuk Cloudflare "menempatkan halaman interstisial peringatan di depan domain berbahaya dan membuat lubang pembuangan untuk dua domain berbahaya sebelum mereka dapat didaftarkan oleh pelaku ancaman," tulis para peneliti. Kemampuan pelaku ancaman lubang pembuangan untuk mengumpulkan data korban sambil memberikan wawasan bagi peneliti tentang demografi korban serta perilaku dan cakupan malware.

Yang ditemukan para peneliti adalah bahwa meskipun CopperStealer tidak terlalu canggih dan hanya memiliki "kemampuan dasar", ia dapat sangat membantu. Dalam 24 jam pertama operasi, sinkhole mencatat 69.992 Permintaan HTTP dari 5.046 alamat IP unik yang berasal dari 159 negara dan mewakili 4.655 infeksi unik, mereka menemukan. Lima negara teratas yang terkena dampak malware berdasarkan infeksi unik adalah India, Indonesia, Brasil, Pakistan, dan Filipina, kata mereka.

Dalam serangannya, CopperStealer mengambil konfigurasi unduhan dari server c2 yang mengekstrak arsip bernama “xldl.dat,” yang tampaknya merupakan pengelola unduhan sah bernama Xunlei dari Xunlei Networking Technologies Ltd. yang sebelumnya ditautkan ke perangkat lunak jahat pada 2013. CopperStealer kemudian menggunakan API yang diekspos dari aplikasi Xunlei untuk mengunduh konfigurasi biner tindak lanjut, tulis peneliti.

Salah satu peneliti muatan yang ditemukan CopperStealer untuk dikirimkan paling baru adalah Smokeloader, pintu belakang modular. Namun, secara historis malware telah menggunakan berbagai muatan yang dikirim dari beberapa URL, kata para peneliti.

Peneliti Proofpoint akan terus membantu mengganggu aktivitas CopperStealer saat ini serta memantau lanskap ancaman untuk mengidentifikasi dan mendeteksi evolusi malware di masa mendatang, kata mereka.

"Penyelidikan kami menemukan pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fungsi pengunduh, yang mampu mengirimkan malware tambahan setelah melakukan aktivitas pencuri," tulis mereka.

Iklan Tengah Post

Ads middle content1

Ads middle content2