“CopperStealer Malware Crew keert terug met Geavanceerde Rootkit en Phishing Kit Modules”

Reading Time: ( Word Count: )

May 16, 2023
Nextdoorsec-course

Twee nieuwe campagnes van de bende achter de CopperStealer-malware, die probeert CopperStealth en CopperPhish apparaten te verspreiden, werden gelanceerd in maart en april 2023.

De groep Water Orthrus, die financiële motieven heeft, wordt actief in de gaten gehouden door Trend Micro. Deze tegenstander wordt ook verantwoordelijk geacht voor de Scranos-campagne, die Bitdefender eerder in 2019 aankondigde.

Water Orthrus is ten minste sinds 2021 actief en heeft een geschiedenis van het gebruik van pay-per-install (PPI) netwerken. Ze gebruiken gegevens gestolen door dief CopperStealer om gebruikers om te leiden naar websites die illegale software-installaties aanbieden.

De meest recente door Trend Micro gedocumenteerde aanvalsreeksen wijken niet significant af van de eerdere patronen. Door te worden verpakt als installaties voor gratis programma’s op Chinese software-sharing webpagina’s, wordt CopperStealth verspreid.

In een studie beschreven beveiligingsdeskundigen Jaromir Horejsi en Joseph C Chen hoe CopperStealth zich verspreidt door het installeren en activeren van een rootkit voordat het zijn malware injecteert in explorer.exe en andere computerprogramma’s. Meer functies worden gedownload en uitgevoerd door deze pakketten – bovendien beperkt de rootkit de toegang tot registervermeldingen op de blokkadelijst en de uitvoering van bepaalde toepassingen en adapters.

Bytepatronen die verband houden met de Chinese aanbieders van beveiligingsprogramma’s Huorong, Kingsoft en Qihoo 360 staan op de denylist voor adapters.

Lees ook: “11 nieuwe kwetsbaarheden leggen OT-netwerken in industriële mobiele routers bloot.”

De CopperPhish campagne, wereldwijd ontdekt in april 2023, maakt gebruik van een soortgelijk proces om de malware in te zetten. Er worden PPI-systemen gebruikt die verbonden zijn met gratis, naamloze websites die bestanden delen.

Volgens de onderzoekers worden bezoekers na het klikken op de advertenties omgeleid naar een downloadpagina van het PPI-netwerk, die zich voordoet als een downloadlink. PrivateLoader, het bestand dat werd gedownload, is belast met de installatie en werking van verschillende virussen.

Om dit te doen, start CopperPhish een rundll32 programma en injecteert een eenvoudig Visual Basic programma in het browsertabblad dat toegang geeft tot een kwaadaardige URL. Deze pagina vraagt slachtoffers een QR-code te scannen voor identiteitsverificatie en een bevestigingscode in te voeren om “het netwerk van uw apparaat te herstellen”.

Zodra de gevoelige gegevens zijn ingevoerd op de pagina, toont de CopperPhish malware een bericht waarin staat “de identiteitsverificatie is geslaagd”, samen met een bevestigingscode. De malware schakelt zichzelf uit en verwijdert alle kwaadaardige programma’s op het systeem als de juiste autorisatiecode wordt gegeven. De code voor autorisatie en credential authenticatie zijn twee belangrijke functies die de effectiviteit van deze hacking kit verbeteren.

De verschillende doelstellingen van deze campagnes weerspiegelen de evolutie van de tactieken van de dreigingsactor, wat wijst op een poging om hun capaciteiten te vergroten en hun financiële winsten te verbreden.

Deze bevindingen komen wanneer kwaadaardige Google-advertenties gebruikers verleiden tot het downloaden van valse installateurs voor AI-tools zoals Midjourney en OpenAI’s ChatGPT, die uiteindelijk stealers als Vidar en RedLine laten vallen.

Bovendien is een gloednieuw bedrijf voor verkeersmonetisering, TrafficStealer genaamd, geïdentificeerd, dat gebruik maakt van pakketfouten om verkeer om te leiden naar websites en nepadvertentieclicks te produceren als onderdeel van een winstgevende illegale operatie.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *