Oski Stealer amenaza a los propietarios de criptomonedas al apuntar a claves privadas

La triste realidad es que vender malware podría ser un negocio extremadamente lucrativo. No faltan los cibercriminales aspirantes que no tienen las habilidades para producir una amenaza notable, pero están más que dispuestos a gastar dinero en herramientas que otras personas desarrollan. Esto se adapta perfectamente a los creadores de malware porque pueden ganar dinero con sus habilidades de programación y, al mismo tiempo, el hecho de que no inicien las campañas por sí mismos significa que es menos probable que los atrapen. Sin embargo, la demanda es enorme y los clientes son exigentes. La competencia es dura y no es muy fácil para un recién llegado tener un impacto significativo. A principios de este mes, sin embargo, Aditya K Sood, un investigador de seguridad, descubrió un ladrón de información lanzado recientemente que podría ser lo suficientemente poderoso como para hacerse un nombre.

Se llama el ladrón Oski, y se ha comprado y vendido en los mercados subterráneos durante aproximadamente dos meses. Por el momento, parece estar dirigido principalmente a usuarios en América del Norte y China, pero dado que se anuncia en foros de piratería, esto puede cambiar muy rápidamente. Pero, ¿qué lo hace destacar entre la multitud?

Un ladrón de información versátil dirigido a navegadores y billeteras de criptomonedas

El hecho de que los ciberdelincuentes que pagan usen a Oski en numerosas campañas diferentes significa que hay múltiples vectores de infección. Según el medio de noticias de seguridad SecurityWeek, el ladrón se distribuye a través de una variedad de medios, que incluyen descargas automáticas, kits de explotación y phishing. Funciona en las versiones de 32 y 64 bits de Windows 7, Windows 8 / 8.1 y Windows 10.

Oski tiene varios métodos para robar credenciales de inicio de sesión. Puede extraer los datos de las entradas en el registro de Windows, las bases de datos SQLite de los navegadores, las cookies de sesión, y también puede realizar ataques Man-in-the-browser al conectarse al proceso del navegador con la ayuda de una inyección de DLL. Con todo, es un ladrón de contraseñas bastante versátil.

Funciona en prácticamente todos los navegadores basados en Firefox y Chromium, y también puede robar los datos de inicio de sesión guardados del cliente FTP FileZilla, así como las claves privadas para una serie de billeteras de criptomonedas populares. Las credenciales robadas se almacenan primero dentro de la carpeta% ProgramData%, después de lo cual se comprimen en un archivo ZIP y se envían al servidor de Comando y Control (C&C) de los ladrones a través de una solicitud HTTP POST encriptada.

Oski se está extendiendo rápido

Hablando de los C&C, mientras analizaba la muestra de Oski que había descubierto, Aditya K Sood vio una IP rusa, que lo llevó a uno de los servidores de Comando y Control del ladrón. Según ThreatPost, entró por la fuerza bruta y descubrió que el malware se estaba extendiendo a un ritmo alarmante. Cuando inició sesión por primera vez, Sood vio registros de 88 computadoras infectadas y un poco más de 43 mil contraseñas robadas. Aproximadamente 10 horas después, echó otro vistazo y descubrió registros de la friolera de 249 hosts infectados. Mientras tanto, el número de credenciales de inicio de sesión comprometidas había crecido a poco menos de 50 mil.

Cuando habló con ThreatPost hace un par de semanas, Sood dijo que Oski no mostraba signos de desaceleración, lo que significa que las personas deben ser conscientes del peligro. Desafortunadamente, debido a la multitud de diferentes métodos de distribución, es difícil reunir una lista de precauciones que puede tomar. Sin embargo, algunos conocimientos convencionales de infosec deberían ayudar mucho. Tenga cuidado con los enlaces y archivos adjuntos que llegan a su bandeja de entrada, intente adherirse a sitios web de buena reputación cuando navegue y mantenga su software actualizado.