Twee nieuwe campagnes van de bende achter de CopperStealer-malware, die probeert CopperStealth en CopperPhish apparaten te verspreiden, werden gelanceerd in maart en april 2023.

De groep Water Orthrus, die financiële motieven heeft, wordt actief in de gaten gehouden door Trend Micro. Deze tegenstander wordt ook verantwoordelijk geacht voor de Scranos-campagne, die Bitdefender eerder in 2019 aankondigde.

Water Orthrus is ten minste sinds 2021 actief en heeft een geschiedenis van het gebruik van pay-per-install (PPI) netwerken. Ze gebruiken gegevens gestolen door dief CopperStealer om gebruikers om te leiden naar websites die illegale software-installaties aanbieden.

De meest recente door Trend Micro gedocumenteerde aanvalsreeksen wijken niet significant af van de eerdere patronen. Door te worden verpakt als installaties voor gratis programma’s op Chinese software-sharing webpagina’s, wordt CopperStealth verspreid.

In een studie beschreven beveiligingsdeskundigen Jaromir Horejsi en Joseph C Chen hoe CopperStealth zich verspreidt door het installeren en activeren van een rootkit voordat het zijn malware injecteert in explorer.exe en andere computerprogramma’s. Meer functies worden gedownload en uitgevoerd door deze pakketten – bovendien beperkt de rootkit de toegang tot registervermeldingen op de blokkadelijst en de uitvoering van bepaalde toepassingen en adapters.

Bytepatronen die verband houden met de Chinese aanbieders van beveiligingsprogramma’s Huorong, Kingsoft en Qihoo 360 staan op de denylist voor adapters.

Lees ook: “11 nieuwe kwetsbaarheden leggen OT-netwerken in industriële mobiele routers bloot.”

De CopperPhish campagne, wereldwijd ontdekt in april 2023, maakt gebruik van een soortgelijk proces om de malware in te zetten. Er worden PPI-systemen gebruikt die verbonden zijn met gratis, naamloze websites die bestanden delen.

Volgens de onderzoekers worden bezoekers na het klikken op de advertenties omgeleid naar een downloadpagina van het PPI-netwerk, die zich voordoet als een downloadlink. PrivateLoader, het bestand dat werd gedownload, is belast met de installatie en werking van verschillende virussen.

Om dit te doen, start CopperPhish een rundll32 programma en injecteert een eenvoudig Visual Basic programma in het browsertabblad dat toegang geeft tot een kwaadaardige URL. Deze pagina vraagt slachtoffers een QR-code te scannen voor identiteitsverificatie en een bevestigingscode in te voeren om “het netwerk van uw apparaat te herstellen”.

Zodra de gevoelige gegevens zijn ingevoerd op de pagina, toont de CopperPhish malware een bericht waarin staat “de identiteitsverificatie is geslaagd”, samen met een bevestigingscode. De malware schakelt zichzelf uit en verwijdert alle kwaadaardige programma’s op het systeem als de juiste autorisatiecode wordt gegeven. De code voor autorisatie en credential authenticatie zijn twee belangrijke functies die de effectiviteit van deze hacking kit verbeteren.

De verschillende doelstellingen van deze campagnes weerspiegelen de evolutie van de tactieken van de dreigingsactor, wat wijst op een poging om hun capaciteiten te vergroten en hun financiële winsten te verbreden.

Deze bevindingen komen wanneer kwaadaardige Google-advertenties gebruikers verleiden tot het downloaden van valse installateurs voor AI-tools zoals Midjourney en OpenAI’s ChatGPT, die uiteindelijk stealers als Vidar en RedLine laten vallen.

Bovendien is een gloednieuw bedrijf voor verkeersmonetisering, TrafficStealer genaamd, geïdentificeerd, dat gebruik maakt van pakketfouten om verkeer om te leiden naar websites en nepadvertentieclicks te produceren als onderdeel van een winstgevende illegale operatie.