En skadlig programvara kallad CopperStealer tros ha infekterat upp till 5 000 användare per dag under första kvartalet i år. Programvaran stjäl användaruppgifter för plattformar som Facebook och Instagram för att bland annat publicera falsk information via annonser.
CopperStealer är en skadlig programvara som stjäl lösenord och därefter installerar skadlig kod. Proofpoint har arbetat sedan slutet av januari för att identifiera och förhindra attacker – och bland annat tagit fram ett script som säkerhetsteam kan använda för att undersöka om de är drabbade.
Fokuset för attackerna är företagskonton och annonsörer på Facebook och Instagram, med mål att stjäla lagrade lösenord. Åtkomsten till dessa konton har använts för att tjäna pengar och publicera falska annonser. CopperStealer använder sig av kakor som lagras i webbläsaren för att få tokens och åtkomst att hämta ytterligare information från Facebook och Instagram. Det kan exempelvis handla om kontaktlistor, eventuella annonskonton och sidor.
– CopperStealer är inte den elakaste lösenordstjuven där ute, men den har ändå stor påverkan. Genom att stjäla den här typen av autentiseringsuppgifter kan användarkonton senare användas för att förfalska identiteter, starta attacker och sprida felaktig information, säger Örjan Westman, Nordenchef på Proofpoint.
Kan ha störts på kort sikt
Proofpoint har ”reverse-engineerat” programvara och den algoritm som används i CopperStealer och uppmanat domänregistratorer att vara uppmärksamma på registreringar från hackare som använder den här programvaran för att via domäner få tillgång till sociala mediekonton. Insatserna verkar ha stört dessa aktörer på kort sikt. På längre sikt är det dock troligt att aktörerna bygger upp en alternativ infrastruktur.
CopperStealer påminner om SilentFade, som hade liknande fokus och tillvägagångsätt. CopperStealer har använt så kallade torrent-siter där användare laddar ner gratisversioner av programvaror som annars kostar pengar. Den skadliga programvaran tros kunna stjäla lösenord från bland annat webbläsare.
– Därför uppmanar vi användare att inte lagra känsliga data som lösenord i webbläsaren. Vi uppmanar också användare att aktivera aktiverar tvåfaktorsautenticering för sociala mediekonton, för att motverka den här typen av attacker, säger Örjan Westman.
