La security house californiana Proofpoint, dal quartier generale di Sunnyvale, ha lanciato l’allarme a proposito di un nuovo attacco hacker, condotto tramite il malware battezzato come CooperStealer, volto a carpire le credenziali per il log-in nei servizi messi a disposizione ad es. da Amazon, Apple, Facebook, Google.
Il nuovo attacco hacker, basato sul malware battezzato come CooperStealer, in circolo sin dal 2019, e appartenente alla serie SilentFace riscontrata in quel periodo in Cina, si propagherebbe attraverso siti che, come nel caso di piratewares, startcrack, keygenninja e crackheap, offrono la promessa di poter aggirare le restrizioni di licenza di programmi e videogiochi a pagamento, consentendo di usarli gratuitamente e senza scadenze temporali.
Secondo gli esperti, in realtà, una volta scaricato e installato da tali siti quel che è a tutti gli effetti un programma potenzialmente indesiderato (PUA/PUP), quest’ultimo procede a scaricare dei payload dannosi che eseguono concretamente i danni. Tra questi, oltre al download di malware, risulta che gli utenti vengano spesso arruolati inconsapevolmente per pubblicare annunci di pubblicità ingannevoli (malvertising), cliccando sui quali si viene portati a siti fraudolenti.
Attraverso una tecnica d’indagine, si è scoperto che diverse (69.992) richieste http provenivano da IP univoci (ben 5046) situati principalmente in paesi come India, Pakistan, Indonesia, Brasile, e Filippine.Grazie alla collaborazione con CloudFlare, per ora, si è arginato parzialmente l’attacco, ponendo degli avvisi all’ingresso di alcuni siti web pericolosi, e attuando la tecnica del silkholing (già usata contro l’attacco WannaCry) in base alla quale sono stati registrati due indirizzi di dominio destinati a ricevere, in seguito, le comunicazioni di C&C, comando e controllo, da parte dei device infettati.
Ad attacco ancora in corso, tuttavia, l’unica difesa utile che gli utenti possano adottare validamente consiste nel non scaricare programmi per piratare i software di proprio interesse, oltre ad adottare antivirus locali costantemente aggiornati.