Oski Stealer menace les propriétaires de portefeuilles cryptographiques en ciblant les clés privées
La triste réalité est que la vente de logiciels malveillants pourrait être une activité extrêmement lucrative. Il ne manque pas de cybercriminels en herbe qui n'ont pas les compétences nécessaires pour produire une menace notable, mais qui sont plus que disposés à dépenser de l'argent pour des outils que d'autres personnes développent. Cela convient parfaitement aux créateurs de logiciels malveillants car ils peuvent gagner de l'argent grâce à leurs compétences en programmation et, en même temps, le fait qu'ils ne lancent pas eux-mêmes les campagnes signifie qu'ils sont moins susceptibles de se faire prendre. La demande est énorme et les clients sont difficiles. La concurrence est rude et il n'est pas très facile pour un nouveau venu d'avoir un impact significatif. Plus tôt ce mois-ci, cependant, Aditya K Sood, un chercheur en sécurité, a découvert un voleur d'informations récemment publié qui pourrait être suffisamment puissant pour se faire un nom.
Cela s'appelle le voleur Oski, et il est acheté et vendu sur les marchés souterrains depuis environ deux mois maintenant. Pour le moment, il semble être principalement destiné aux utilisateurs d'Amérique du Nord et de Chine, mais étant donné qu'il est annoncé sur les forums de piratage, cela peut changer très rapidement. Mais qu'est-ce qui le distingue de la foule?
Un voleur d'informations polyvalent ciblant les navigateurs et les portefeuilles de crypto-monnaie
Le fait que les cybercriminels payants utilisent Oski dans de nombreuses campagnes différentes signifie qu'il existe plusieurs vecteurs d'infection. Selon le journal de sécurité SecurityWeek, le voleur est distribué par le biais de divers moyens, notamment des téléchargements en voiture, des kits d'exploitation et du phishing. Il fonctionne sur les versions 32 et 64 bits de Windows 7, Windows 8 / 8.1 et Windows 10.
Oski a plusieurs méthodes pour voler les informations de connexion. Il peut extraire les données des entrées du registre Windows, des bases de données SQLite des navigateurs, des cookies de session, et il peut également effectuer des attaques Man-in-the-browser en se connectant au processus du navigateur à l'aide d'une injection de DLL. Dans l'ensemble, c'est un voleur de mots de passe plutôt polyvalent.
Il fonctionne sur pratiquement tous les navigateurs basés sur Firefox et Chromium, et il peut également piller les données de connexion enregistrées à partir du client FTP FileZilla ainsi que les clés privées pour un certain nombre de portefeuilles de crypto-monnaie populaires. Les informations d'identification volées sont d'abord stockées dans le dossier% ProgramData%, après quoi elles sont compressées dans un fichier ZIP et envoyées au serveur Command & Control (C&C) des escrocs via une demande HTTP POST cryptée.
Oski se propage rapidement
En parlant de C&C, lors de l'analyse de l'échantillon Oski qu'il avait découvert, Aditya K Sood a vu une adresse IP russe, ce qui l'a conduit à l'un des serveurs Command & Control du voleur. Selon ThreatPost, il a forcé son chemin et a découvert que le malware se répand à un rythme alarmant. Lorsqu'il s'est connecté pour la première fois, Sood a vu les journaux de 88 ordinateurs infectés et un peu plus de 43 000 mots de passe volés. Environ 10 heures plus tard, il a jeté un coup d'œil et a découvert les journaux d'un énorme 249 hôtes infectés. Pendant ce temps, le nombre d'informations d'identification de connexion compromises était passé à un peu moins de 50 000.
Lorsqu'il a parlé à ThreatPost il y a quelques semaines, Sood a déclaré qu'Oski ne montrait aucun signe de ralentissement, ce qui signifie que les gens doivent être conscients du danger. Malheureusement, en raison de la multitude de méthodes de distribution différentes, il est difficile de dresser une liste de précautions à prendre. Cependant, une certaine sagesse conventionnelle de l'InfoSec devrait beaucoup aider. Soyez prudent avec les liens et les pièces jointes qui arrivent dans votre boîte de réception, essayez de vous en tenir à des sites Web de bonne réputation lors de la navigation et de garder votre logiciel à jour.