CopperStealer Malware đã lây nhiễm lên đến 5.000 hosts mỗi ngày trong ba tháng đầu năm 2021.



Một tấm biển được dán bên ngoài trụ sở Facebook vào ngày 5 tháng 4 năm 2018 tại Menlo Park, California. Các nhà nghiên cứu đã phá vỡ một malware lây nhiễm tới 5.000 hosts độc lập mỗi ngày, đánh cắp thông tin đăng nhập của người dùng trên các nền tảng phổ biến bao gồm  cả Facebook.

(Ảnh của Justin Sullivan / Getty Images)

Các nhà nghiên cứu đã tiêu diệt một malware có trụ sở tại Trung Quốc mới được ghi nhận có tên là CopperStealer, kể từ khi các biện pháp đối phó bắt đầu vào cuối tháng 1, đã lây nhiễm tới 5.000 hosts  độc lập mỗi ngày, đánh cắp thông tin đăng nhập của người dùng trên các nền tảng chính bao gồm Facebook, Instagram, Apple, Amazon, Bing, Google PayPal, Tumblr và Twitter.

Sherrod DeGrippo, giám đốc cấp cao nghiên cứu mối đe dọa tại Proofpoint, cho biết họ lần đầu tiên được thông báo về malware CopperStealer là bởi người dùng Twitter TheAnalyst. Cô cho biết CopperStealer, được Proofpoint miêu tả đầy đủ trong một bài đăng trên blog, thể hiện nhiều phương pháp nhắm mục tiêu và truyền tải giống như SilentFade, một họ malware có nguồn gốc từ Trung Quốc được Facebook báo cáo lần đầu tiên vào năm 2019.

DeGrippo nói rằng để chống lại CopperStealer, các nhà nghiên cứu của Proofpoint đã nghiên cứu về cách tạo ra và cũng như cách của malware này vận hành. Sau đó, họ cũng làm như vậy với Domain Generation Algorithm (DGA) được sử dụng trong malware, vì vậy họ có thể ngăn những hacker đăng ký các miền được malware sử dụng ít nhất một ngày trước khi hacker có thể đăng ký chúng. Sau đó, họ tìm đến các công ty đăng ký tên miền quản lý các miền đó và trong hầu hết các trường hợp, các công ty đăng ký đã đồng ý gỡ chúng xuống.

DeGrippo nói: “Đây là những miền mà malware đang sử dụng để đưa ra hướng dẫn lấy lại thông tin đăng nhập. “Thông tin xác thực là một thứ cực kì quan trọng mà không thể thiếu  mà khi nói đến bối cảnh nguy hiểm hiện tại và điều này cho thấy khoảng thời gian mà các hacker sẽ thực hiện để đánh cắp dữ liệu thông tin xác thực có giá trị. CopperStealer đang theo dõi các nhà cung cấp dịch vụ lớn đăng nhập như tài khoản mạng xã hội và công cụ tìm kiếm để phát tán thêm malware hoặc các cuộc tấn công khác. Đây là những thứ có thể được bán. Người dùng nên bật xác thực hai yếu tố cho các nhà cung cấp dịch vụ của họ ”.

COpperStealer là  đại diện cho một phần mềm độc hại cực kỳ tinh vi,với nhiều tùy chọn đánh cắp dữ liệu nhạy cảm và đưa thêm malware, Chris Morgan, nhà phân tích tình báo về mối đe dọa mạng cao cấp tại Digital Shadows cho biết. Morgan cho biết mục tiêu mà chúng lựa chọn, trong đó có một số nhà cung cấp mạng xã hội khác nhau, có thể đại diện cho nỗ lực của những kẻ điều hành malware  chiếm lấy các tài khoản bị nhắm tới mà các hacker có thể sử dụng cho các mục đích xấu hơn.

Morgan xác nhận rằng các hacker đến từ Cộng hòa Nhân dân Trung Hoa (CHND Trung Hoa) được cho là đã tạo ra CopperStealer. Morgan cho biết những hacker này trước đây đã sử dụng các tài khoản mạng xã hội bị xâm phạm để truyền bá thông tin sai lệch và gây ảnh hưởng đến các hoạt động của PRC. Các ví dụ bao gồm các cuộc biểu tình ở Hồng Kông năm 2019, trong đó mô tả các sự kiện là “bạo loạn do CIA tài trợ”.

Morgan nói: “Thực tế có thể có những động cơ tương tự đằng sau CopperStealer campaign, sử dụng các tài khoản để truyền bá  những thông tin sai lệch. “Các hành động được thực hiện bởi Proofpoint và các nhà cung cấp dịch vụ sẽ dẫn đến sự gián đoạn đáng kể trong thời gian ngắn hạn (từ một đến ba tháng) đối với chiến dịch này; tuy nhiên, việc thay thế cơ sở hạ tầng sẽ tương đối đơn giản đối với các hacker. Cách thức mà truyền đi CopperStealer dựa vào việc người dùng tương tác với các trang web torrent cung cấp phiên bản miễn phí của phần mềm thật, hấp dẫn để tránh đi các loại  phí bản quyền  tốn kém. Người dùng nên tránh tương tác và tải xuống phần mềm từ bất kỳ trang web không chính thống nào, cho dù là trên trang web của công ty hay cá nhân ”.

Joseph Carson, nhà khoa học bảo mật  và cố vấn CISO tại Thycotic, nói thêm rằng CopperStealer đã được biết là ăn cắp mật khẩu từ các trình duyệt nổi tiếng và đó là lời cảnh báo rằng việc lưu trữ dữ liệu nhạy cảm trong trình duyệt đã trở thành một nguy cơ bảo mật lớn, đặc biệt nếu nhân viên trở thành nạn nhân của malware này.

Carson nói: “Điều này có thể dẫn đến việc các hacker có quyền truy cập vào tổ chức của bạn. “Mặc dù việc lưu trữ dữ liệu không quan trọng trong trình duyệt cúng ko gây ra vấn đề gì nhiều, nhưng điều quan trọng là các tổ chức phải chuyển lên Password managers, chẳng hạn như những dữ liệu trong trình duyệt. Họ nên chuyển sang bảo mật truy cập đặc quyền để tăng cường bảo vệ và kiểm soát bảo mật bổ sung. Điều quan trọng là giúp chuyển mật khẩu vào nền và chúng không phải là biện pháp kiểm soát bảo mật duy nhất bảo vệ doanh nghiệp của bạn ”.

Proofpoint đã đăng một tập lệnh Python3 trên blog mà các nhóm bảo mật có thể sử dụng để xem liệu có máy nào của họ đã truy cập vào các miền bị nhiễm malware hay không. Nếu có, DeGrippo cho biết các công ty nên thực hiện ứng phó sự cố trên những máy đó.

NGUỒN : scmagazine



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật