Malware CopperStealer đánh cắp tài khoản Google, Apple và Facebook

March 21, 2021

Người dùng bị nhiễm phần mềm độc hại CopperStealer thông qua các trang web bẻ khoá phần mềm giả mạo của các hãng lớn như Google, Facebook, Amazon và Apple.

CopperStealer có khả năng đánh cắp mật khẩu và cookie cùng với tính năng downloader cho phép kẻ đứng sau malware này phát tán thêm các payload độc hại tới các thiết bị bị lây nhiễm.

Tin tặc này sử dụng các tài khoản đã bị xâm nhập để chạy quảng cáo độc hại và phát tán thêm các phần mềm độc hại cho các chiến dịch tấn công sau đó.

Nguy hiểm dù đơn giản

Công ty đã phát hiện phần mềm độc hại – Proofpoint cho biết: “Khi phân tích một mẫu malware nhắm vào các tài khoản doanh nghiệp và nhà quảng cáo trên Facebook và Instagram, chúng tôi phát hiện thêm các phiên bản nhắm vào các nhà cung cấp dịch vụ lớn khác như Apple, Amazon, Bing, Google, PayPal, Tumblr và Twitter”.

CopperStealer hoạt động thông qua việc thu thập các mật khẩu được lưu trong trình duyệt web Google Chrome, Edge, Firefox, Yandex và Opera.

[​IMG]
Cooperstealer Facebook và Instagram yêu cầu (Proofpoint)


Phần mềm độc hại này cũng đánh cắp mã access token của người dùng Facebook bằng cách sử dụng cookie bị đánh cắp để thu thập thêm thông tin bạn bè, tài khoản quảng cáo và danh sách các trang Facebook mà nạn nhân có thể truy cập.

Module downloader của phần mềm này bao gồm backdoor Smokeloader và các payload độc hại khác được tải xuống từ nhiều URL.

“Mặc dù CopperStealer không phải là phần mềm đánh cắp thông tin/tài khoản khét tiếng nhất, nhưng điều này cho thấy ngay cả với những tính năng cơ bản nhất, phạm vi ảnh hưởng của nó có thể rất lớn”, Proofpoint cho biết.

Các trang web bẻ khóa phần mềm giả – kênh phát tán malware

CopperStealerr đang được phát tán thông qua các trang web bẻ khóa phần mềm giả mạo và các nền tảng phân phối phần mềm độc hại đã được biết đến như keygenninja[.]com, piratewares[.]com, startcrack[.]com, and crackheap[.]net.

keygenninja.jpg


​CopperStealer có chung mục tiêu tấn công và phương pháp phát tán với malware SilentFade khi đánh cắp cookie trình duyệt và chạy quảng cáo độc hại thông qua các tài khoản Facebook bị tấn công, dẫn đến thiệt hại hơn 4 triệu USD.

“Copperstalerer cố gắng chiếm các thông tin đăng nhập của nhà cung cấp dịch vụ lớn và tài khoản công cụ tìm kiếm để lây lan thêm các phần mềm độc hại khác hoặc bổ sung cho các cuộc tấn công sau này”.

Những phần mềm độc hại chuyên đánh cắp tài khoản như CopperStealer giúp những kẻ lừa đảo thực hiện các cuộc tấn công mạo danh và trộm cắp danh tính. Người dùng được khuyến cáo luôn bật xác thực hai bước để tăng cường bảo mật.

BTV DSH