El uso intensivo de la red en estos últimos meses, ha traído consigo la aparición de muchas y nuevas amenazas que han puesto en jaque los equipos de usuarios y empresas. Uno de los que mas daño ha hecho ha sido CooperStealer, un ladrón de contraseñas y cookies. A finales de enero, Proofpoint llevo a cabo una investigación con la que pudo identificar e interrumpir la actividad de este malware. Las muestras analizadas se dirigían a cuentas de empresas y anunciantes en Facebook e Instagram con el objetivo de robar las contraseñas almacenadas de Facebook en motores de búsqueda. Desde la empresa creen que los atacantes utilizaban esas claves para publicar anuncios falsos y sacar beneficio por ellos.
Forma de actuar de CopperStealer
La forma en la que actuaba este malware, era utilizando las cookies almacenadas en navegadores para recuperar el token de acceso al usuario. Una vez que tenía en su poder esta información, solicitaba información adicional a Facebook e Instagram para recopilar lista de contactos, cuenta de publicidad que tuviera configurada el usuario o las páginas a las que tuviera acceso.
Aunque CopperStealer no es el ladrón de contraseñas más perverso que existe, sí que demuestra que, incluso con capacidades básicas, puede tener un impacto importante. Investigaciones anteriores de Facebook y Bitdefender han sacado también a la luz todo un ecosistema de malware en China que aumenta rápidamente y se centra en la monetización de cuentas de redes sociales y otros servicios.
Con esta investigación de Proofpoint, se han logrado detectar asimismo versiones adicionales de CopperStealer dirigidas a tecnológicas y proveedores de servicios, como Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter. Este malware ha llegado a infectar hasta 5.000 hosts individuales diariamente, robando credenciales de usuarios en estas conocidas plataformas. En Proofpoint han trabajado con algunas de las compañías afectadas para profundizar sobre dicha amenaza y compartir información.
“Las credenciales son de extremada importancia en el actual panorama de amenazas, y nos demuestran hasta dónde son capaces de llegar los ciberdelincuentes para hacerse con la valiosa información que hay en ellas”, señala Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “El robo de credenciales por malware, de cookies o el phishing en páginas de destino contribuyen a comprometer cuentas de usuario que, posteriormente, pueden ser utilizadas para suplantar identidades y lanzar otro tipo de ataques, por lo que recomendamos a los usuarios activar la autenticación de doble factor con estos servicios”.