Oski Stealer απειλεί τους κατόχους πορτοφολιών Crypto με τη στόχευση ιδιωτικών κλειδιών

Η θλιβερή πραγματικότητα είναι ότι η πώληση κακόβουλου λογισμικού θα μπορούσε να είναι μια εξαιρετικά κερδοφόρα επιχείρηση. Δεν υπάρχει έλλειψη wannabe κυβερνοεγκληματίες που δεν έχουν τις ικανότητες να παράγουν μια αξιοσημείωτη απειλή, αλλά είναι περισσότερο από πρόθυμοι να δαπανήσουν μετρητά για εργαλεία που αναπτύσσουν άλλοι. Αυτό ταιριάζει απόλυτα με τους δημιουργούς κακόβουλου λογισμικού επειδή κερδίζουν χρήματα από τις ικανότητές τους προγραμματισμού και συγχρόνως το γεγονός ότι δεν εκκινούν οι ίδιοι οι εκστρατείες σημαίνει ότι είναι λιγότερο πιθανό να πιαστούν. Η ζήτηση είναι τεράστια, και οι πελάτες είναι επιλεκτικοί, όμως. Ο διαγωνισμός είναι δύσκαμπτος και δεν είναι πολύ εύκολο για έναν νεοφερμένο να έχει σημαντικό αντίκτυπο. Ωστόσο, νωρίτερα αυτό το μήνα, η Aditya K Sood, ερευνητής ασφάλειας, ανακάλυψε μια πρόσφατα δημοσιευμένη κλοπή πληροφοριών που μπορεί να είναι αρκετά ισχυρή για να κάνει ένα όνομα για τον εαυτό της.

Ονομάζεται ο κλέφτης Oski και έχει αγοραστεί και πωληθεί στις υπόγειες αγορές για περίπου δύο μήνες τώρα. Προς το παρόν, φαίνεται ότι απευθύνεται κυρίως σε χρήστες στη Βόρεια Αμερική και την Κίνα, αλλά δεδομένου ότι διαφημίζεται σε φόρουμ hacking, αυτό μπορεί να αλλάξει πολύ γρήγορα. Αλλά τι το κάνει να ξεχωρίζει από το πλήθος;

Μια ευπροσάρμοστη κακοποιός πληροφοριών που στοχεύει σε φυλλομετρητές και πορτοφόλια κρυπτογράφησης

Το γεγονός ότι η πληρωμή των κυβερνοεγκληματιών χρησιμοποιεί το Oski σε πολλές διαφορετικές εκστρατείες σημαίνει ότι υπάρχουν πολλαπλοί φορείς μόλυνσης. Σύμφωνα με το SecurityWeek, το τμήμα διανομής της ασφάλειας διανέμεται μέσω διαφόρων μέσων, συμπεριλαμβανομένων των μεταφορτώνει μέσω του δίσκου, των κιτ εκμετάλλευσης και του phishing. Λειτουργεί στις 32- και 64-bit εκδόσεις των Windows 7, των Windows 8 / 8.1 και των Windows 10.

Ο Oski έχει αρκετές μεθόδους για να κλέψει τα διαπιστευτήρια σύνδεσης. Μπορεί να εξαγάγει τα δεδομένα από τις καταχωρήσεις στο μητρώο των Windows, τις βάσεις δεδομένων SQLite των browsers, τα cookie συνεδριών και μπορεί επίσης να εκτελέσει επιθέσεις από τον άνθρωπο σε πρόγραμμα περιήγησης συνδέοντας τη διαδικασία του προγράμματος περιήγησης με τη βοήθεια μιας έγχυσης DLL. Συνολικά, είναι ένα πολύ ευέλικτο εργαλείο απάτης κωδικών πρόσβασης.

Λειτουργεί σχεδόν σε όλα τα προγράμματα περιήγησης που βασίζονται στο Firefox και το Chromium και μπορεί επίσης να καταστρέψει τα αποθηκευμένα δεδομένα σύνδεσης από το πρόγραμμα-πελάτη FileZilla FTP καθώς και τα ιδιωτικά κλειδιά για μια σειρά δημοφιλών πορτοφολιών κρυπτογράφησης. Τα κλεμμένα διαπιστευτήρια αποθηκεύονται για πρώτη φορά μέσα στο φάκελο% ProgramData%, μετά από το οποίο συμπιέζονται σε ένα αρχείο ZIP και αποστέλλονται στον εξυπηρετητή Command & Control (C & C) των απατεώνων μέσω κρυπτογραφημένου αιτήματος HTTP POST.

Oski εξαπλώνεται γρήγορα

Μιλώντας για την C & C, αναλύοντας το δείγμα Oski που είχε ανακαλύψει, η Aditya K Sood είδε μια ρωσική διεύθυνση IP, η οποία τον οδήγησε σε έναν από τους διακομιστές Command & Control του κλέφτη. Σύμφωνα με τον ThreatPost, ο brute-αναγκάστηκε να εισέλθει και ανακάλυψε ότι το malware εξαπλώνεται με ανησυχητικό ρυθμό. Όταν συνδεθεί για πρώτη φορά, ο Sood είδε κορμούς από 88 μολυσμένους υπολογιστές και λίγο περισσότερο από 43.000 κλεμμένους κωδικούς πρόσβασης. Περίπου 10 ώρες αργότερα, πήρε μια άλλη ματιά και ανακάλυψε κούτσουρα από έναν επιβλητικό 249 μολυσμένους οικοδεσπότες. Εν τω μεταξύ, ο αριθμός των διαβαθμισμένων διαπιστευτηρίων σύνδεσης αυξήθηκε σε μόλις κάτω από 50 χιλιάδες.

Όταν μίλησε στο ThreatPost πριν από μερικές εβδομάδες, ο Sood είπε ότι ο Oski δεν έδειξε κανένα σημάδι επιβράδυνσης, πράγμα που σημαίνει ότι οι άνθρωποι πρέπει να γνωρίζουν τον κίνδυνο. Δυστυχώς, λόγω της πληθώρας των διαφορετικών μεθόδων διανομής, είναι δύσκολο να συγκεντρώσετε μια λίστα προφυλάξεων που μπορείτε να πάρετε. Ορισμένες συμβατικές σοφίες infosec θα πρέπει να βοηθήσουν πολύ, όμως. Προσέξτε με τους συνδέσμους και τα συνημμένα που εισέρχονται στα εισερχόμενά σας, προσπαθήστε να παραμείνετε σε αξιόπιστες ιστοσελίδες κατά την περιήγηση και να διατηρήσετε το λογισμικό σας επιδιορθωμένο.