Oski Stealer bedroht Besitzer von Crypto-Geldbörsen, indem es auf private Schlüssel abzielt

Die traurige Realität ist, dass der Verkauf von Malware ein äußerst lukratives Geschäft sein kann. Es gibt keinen Mangel an Möchtegern-Cyberkriminellen, die nicht die Fähigkeiten haben, eine bemerkenswerte Bedrohung zu produzieren, aber mehr als bereit sind, Geld für Tools auszugeben, die andere Leute entwickeln. Dies passt perfekt zu den Malware-Erstellern, da sie mit ihren Programmierkenntnissen Geld verdienen können und gleichzeitig die Wahrscheinlichkeit geringer ist, dass sie die Kampagnen nicht selbst starten. Die Nachfrage ist enorm und die Kunden sind dennoch wählerisch. Die Konkurrenz ist hart und es ist nicht leicht für einen Neuling, eine signifikante Wirkung zu erzielen. Anfang des Monats entdeckte der Sicherheitsforscher Aditya K Sood jedoch einen kürzlich veröffentlichten Informationsdiebstahl, der mächtig genug sein könnte, um sich einen Namen zu machen.

Es heißt Oski Stealer und wird seit ungefähr zwei Monaten auf den unterirdischen Märkten gekauft und verkauft. Momentan scheint es sich hauptsächlich an Benutzer in Nordamerika und China zu richten, aber da es in Hacking-Foren beworben wird, kann sich dies sehr schnell ändern. Aber was unterscheidet es von der Masse?

Ein vielseitiger Information Stealer für Browser und Kryptowährungsportemonnaies

Die Tatsache, dass zahlende Cyberkriminelle Oski in zahlreichen verschiedenen Kampagnen einsetzen, bedeutet, dass es mehrere Infektionsvektoren gibt. Laut Security News Outlet SecurityWeek wird der Diebstahl über eine Vielzahl von Mitteln verbreitet, darunter Drive-by-Downloads, Exploit-Kits und Phishing. Es funktioniert unter den 32- und 64-Bit-Versionen von Windows 7, Windows 8 / 8.1 und Windows 10.

Oski hat verschiedene Methoden, um Anmeldeinformationen zu stehlen. Es kann die Daten aus Einträgen in der Windows-Registrierung, in den SQLite-Datenbanken der Browser und aus Sitzungscookies extrahieren und Man-in-the-Browser-Angriffe ausführen, indem es sich mit Hilfe einer DLL-Injektion an den Prozess des Browsers anschließt. Alles in allem ist es ein ziemlich vielseitiger Passwort-Stealer.

Es funktioniert auf nahezu allen Firefox- und Chromium-basierten Browsern und kann auch die gespeicherten Anmeldedaten des FileZilla-FTP-Clients sowie die privaten Schlüssel für eine Reihe gängiger Kryptowährungs-Wallets stehlen. Die gestohlenen Anmeldeinformationen werden zunächst im Ordner% ProgramData% gespeichert. Anschließend werden sie in einer ZIP-Datei komprimiert und über eine verschlüsselte HTTP-POST-Anforderung an den Command & Control-Server (C & C) der Gauner gesendet.

Oski breitet sich schnell aus

Als Aditya K Sood von der C & C sprach und die von ihm entdeckte Oski-Probe analysierte, entdeckte er eine russische IP, die ihn zu einem der Command & Control-Server des Diebstahlers führte. Laut ThreatPost hat er sich brachial durchgesetzt und festgestellt, dass sich die Malware mit alarmierender Geschwindigkeit ausbreitet. Als er sich zum ersten Mal anmeldete, sah Sood Protokolle von 88 infizierten Computern und etwas mehr als 43.000 gestohlene Passwörter. Ungefähr 10 Stunden später nahm er einen weiteren Blick und entdeckte Protokolle von sage und schreibe 249 infizierten Hosts. In der Zwischenzeit war die Anzahl der manipulierten Anmeldeinformationen auf knapp 50.000 angewachsen.

Als er vor ein paar Wochen mit ThreatPost sprach, sagte Sood, dass Oski keine Anzeichen einer Verlangsamung zeigte, was bedeutet, dass die Leute sich der Gefahr bewusst sein müssen. Leider ist es aufgrund der Vielzahl unterschiedlicher Verteilungsmethoden schwierig, eine Liste der Vorsichtsmaßnahmen zusammenzustellen, die Sie ergreifen können. Allerdings sollte einiges an herkömmlicher Infosec-Weisheit viel helfen. Gehen Sie vorsichtig mit den Links und Anhängen um, die sich in Ihrem Posteingang befinden. Versuchen Sie, beim Surfen auf seriösen Websites zu bleiben, und halten Sie Ihre Software auf dem neuesten Stand.