09 Apr CopperStealer, il ladro di account
CopperStealer è attivo da un paio d’anni e molti account dei principali siti (Amazon, Google, Facebook, Apple) sono stati violati grazie ad esso.
CopperStealer agisce rubando le password dai browser web, e solo recentemente è stato scoperto, permettendo ai criminali di venire in possesso di molte informazioni prima di essere stati coscienti dell’accaduto.
In questo caso però diciamo che bisognava andarsela anche un po’ a cercare:
CopperStealer si è scoperto che è stato distribuito tramite siti di cracking (quelli che forniscono sistemi di “crack”, “codici seriali” e “keygen” usati per sproteggere i software da parte di chi non li vuole acquistare), che in questo caso però oltre al cracking hanno installato anche un malware.
Quindi CopperStealer possiamo dire che sia stato installato da queste persone in forma volontaria.
Dimostrazione di come il fatto di “fare i furbi” non solo non porti alcun beneficio, ma addirittura incentivi quelli “veramente bravi a fare i furbi” ad aumentare le proprie entrate: il malware infatti integra a sua volta una funzionalità di downloader che consente ai suoi padroni di distribuire altri malware nei dispositivi sotto controllo..
Il malware è particolarmente insidioso: prende di mira gli account business su Facebook e Instagram, e quelli degli inserzionisti attivi sulle due piattaforme social, ma con alcune varianti può colpire anche Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter (fonte ProofPoint).
Come funziona CopperStealer
Inizialmente può essere classificato come un “password stealer” cioè un malware in grado di esfiltrare le credenziali di accesso degli utenti memorizzate nei browser Google Chrome, Edge, Firefox e Opera.
Ma non si limita a questo, effettua anche alcune operazioni aggiuntive, altrettanto pericolose:
- può rubare i cookie di navigazione e quindi recuperare le informazioni in essi contenuti, ad esempio il token di accesso a Facebook, ottenendo informazioni di ingegneria sociale molto utili ai criminali che lo controllano
- recupera una configurazione da un server di controllo che estrae un file (xldl.dat), in pratica un gestore di download legittimo (Xunlei), utilizzato per scaricare altri malware a bordo del sistema
Quali i danni?
Entrare in possesso delle password e degli elementi peculiari della vita di una persona comporta molte conseguenze, dal furto di identità al ricatto. Ma addirittura il fingersi soggetti conosciuti comporta una elevata possibilità di diffusione di altri malware all’interno di una cerchia sociale identificabile (azienda, gruppo, ecc).
È indispensabile quindi attivare su tutte le piattaforme che contengono i nostri dati, se proprio dobbiamo pubblicarli, un sistema di autenticazione forte, il così detto 2FA (Per approfondire clicca qui).
Un’altra risorsa per sapere se il nostro account è stato compromesso è il sito haveibeenpwned.com (qui puoi rivedere il nostro articolo sul tema) che consente di verificare se siamo stati oggetto di hacking o se il nostro account è presente nei database dei login compromessi, controllandone il nome utente o la password.
Quindi se insistiamo che la sicurezza deve partire da noi c’è un motivo: non possiamo tenere comportamenti illegali (crackare un software è illegale) e poi stupirci se siamo stati a nostra volta fregati.
Ricordate sempre