CopperStealer, un ladrón de contraseñas y cookies de Facebook e Instagram
- Endpoint
El malware infectó hasta 5.000 hosts al día en el primer trimestre de 2021 para robar credenciales de usuarios de estas plataformas. Desde Proofpoint se cree que los ciberdelincuentes empleaban estos accesos no autorizados para publicar anuncios falsos y sacar beneficios.
|
Recomendados: Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar |
Una investigación realizada por Proofpoint a finales de enero ha identificado e interrumpido la actividad de CopperStealer, un ladrón de contraseñas y cookies, capaz asimismo de lanzar malware. Las muestras analizadas se dirigían a cuentas de empresas y anunciantes en Facebook e Instagram, con el objetivo de robar las contraseñas almacenadas en motores de búsqueda. Desde la empresa de ciberseguridad se cree que los ciberdelincuentes empleaban posteriormente estos accesos no autorizados para publicar anuncios falsos y sacar beneficios.
CopperStealer utilizaba las cookies almacenadas en navegadores para recuperar el token de acceso de usuario. Una vez obtenido el token, el malware solicitaba información adicional a Facebook e Instagram para recopilar todo el contexto posible, como una lista de contactos, cualquier cuenta de publicidad configurada para el usuario y páginas a las que se le había concedido acceso. Investigaciones anteriores de Facebook y Bitdefender han sacado también a la luz todo un ecosistema de malware en China que aumenta rápidamente y se centra en la monetización de cuentas de redes sociales y otros servicios.
En esta investigación se han logrado detectar asimismo versiones adicionales de CopperStealer dirigidas a tecnológicas y proveedores de servicios, como Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter. Este malware ha llegado a infectar hasta 5.000 hosts individuales diariamente, robando credenciales de usuarios en estas conocidas plataformas. En Proofpoint han trabajado con algunas de las compañías afectadas para profundizar sobre dicha amenaza y compartir información.
“Las credenciales son de extremada importancia en el actual panorama de amenazas, y nos demuestran hasta dónde son capaces de llegar los ciberdelincuentes para hacerse con la valiosa información que hay en ellas”, señala Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “El robo de credenciales por malware, de cookies o el phishing en páginas de destino contribuyen a comprometer cuentas de usuario que, posteriormente, pueden ser utilizadas para suplantar identidades y lanzar otro tipo de ataques, por lo que recomendamos a los usuarios activar la autenticación de doble factor con estos servicios”.
