Proofpoint ha realizado a finales de enero de este año una investigación con la que ha podido identificar y, en última instancia, interrumpir la actividad de CopperStealer, un ladrón de contraseñas y cookies capaz asimismo de lanzar malware. Las muestras analizadas se dirigían a cuentas de empresas y anunciantes en Facebook e Instagram con el objetivo de robar las contraseñas almacenadas de Facebook en motores de búsqueda. Desde la empresa de ciberseguridad se cree que los ciberdelincuentes empleaban posteriormente estos accesos no autorizados para publicar anuncios falsos y sacar beneficios.
CopperStealer utilizaba las cookies almacenadas en navegadores para recuperar el token de acceso de usuario. Una vez obtenido el token, el malware solicitaba información adicional a Facebook e Instagram para recopilar todo el contexto posible, como una lista de contactos, cualquier cuenta de publicidad configurada para el usuario y páginas a las que se le había concedido acceso. Aunque CopperStealer no es el ladrón de contraseñas más perverso que existe, sí que demuestra que, incluso con capacidades básicas, puede tener un impacto importante. Investigaciones anteriores de Facebook y Bitdefender han sacado también a la luz todo un ecosistema de malware en China que aumenta rápidamente y se centra en la monetización de cuentas de redes sociales y otros servicios.
Con esta investigación de Proofpoint, se han logrado detectar asimismo versiones adicionales de CopperStealer dirigidas a tecnológicas y proveedores de servicios, como Apple, Amazon, Bing, Google, PayPal, Tumblr y Twitter. Este malware ha llegado a infectar hasta 5.000 hosts individuales diariamente, robando credenciales de usuarios en estas conocidas plataformas. En Proofpoint han trabajado con algunas de las compañías afectadas para profundizar sobre dicha amenaza y compartir información.
“Las credenciales son de extremada importancia en el actual panorama de amenazas, y nos demuestran hasta dónde son capaces de llegar los ciberdelincuentes para hacerse con la valiosa información que hay en ellas”, señala Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint. “El robo de credenciales por malware, de cookies o el phishing en páginas de destino contribuyen a comprometer cuentas de usuario que, posteriormente, pueden ser utilizadas para suplantar identidades y lanzar otro tipo de ataques, por lo que recomendamos a los usuarios activar la autenticación de doble factor con estos servicios”.
Fotografía: Eaters Collective vía Unsplash