Oski Stealer menace les propriétaires de portefeuilles cryptographiques en ciblant les clés privées

Oski Password Stealer

La triste réalité est que la vente de logiciels malveillants pourrait être une activité extrêmement lucrative. Il ne manque pas de cybercriminels en herbe qui n'ont pas les compétences nécessaires pour produire une menace notable, mais qui sont plus que disposés à dépenser de l'argent pour des outils que d'autres personnes développent. Cela convient parfaitement aux créateurs de logiciels malveillants car ils peuvent gagner de l'argent grâce à leurs compétences en programmation et, en même temps, le fait qu'ils ne lancent pas eux-mêmes les campagnes signifie qu'ils sont moins susceptibles de se faire prendre. La demande est énorme et les clients sont difficiles. La concurrence est rude et il n'est pas très facile pour un nouveau venu d'avoir un impact significatif. Plus tôt ce mois-ci, cependant, Aditya K Sood, un chercheur en sécurité, a découvert un voleur d'informations récemment publié qui pourrait être suffisamment puissant pour se faire un nom.

Cela s'appelle le voleur Oski, et il est acheté et vendu sur les marchés souterrains depuis environ deux mois maintenant. Pour le moment, il semble être principalement destiné aux utilisateurs d'Amérique du Nord et de Chine, mais étant donné qu'il est annoncé sur les forums de piratage, cela peut changer très rapidement. Mais qu'est-ce qui le distingue de la foule?

Un voleur d'informations polyvalent ciblant les navigateurs et les portefeuilles de crypto-monnaie

Le fait que les cybercriminels payants utilisent Oski dans de nombreuses campagnes différentes signifie qu'il existe plusieurs vecteurs d'infection. Selon le journal de sécurité SecurityWeek, le voleur est distribué par le biais de divers moyens, notamment des téléchargements en voiture, des kits d'exploitation et du phishing. Il fonctionne sur les versions 32 et 64 bits de Windows 7, Windows 8 / 8.1 et Windows 10.

Oski a plusieurs méthodes pour voler les informations de connexion. Il peut extraire les données des entrées du registre Windows, des bases de données SQLite des navigateurs, des cookies de session, et il peut également effectuer des attaques Man-in-the-browser en se connectant au processus du navigateur à l'aide d'une injection de DLL. Dans l'ensemble, c'est un voleur de mots de passe plutôt polyvalent.

Il fonctionne sur pratiquement tous les navigateurs basés sur Firefox et Chromium, et il peut également piller les données de connexion enregistrées à partir du client FTP FileZilla ainsi que les clés privées pour un certain nombre de portefeuilles de crypto-monnaie populaires. Les informations d'identification volées sont d'abord stockées dans le dossier% ProgramData%, après quoi elles sont compressées dans un fichier ZIP et envoyées au serveur Command & Control (C&C) des escrocs via une demande HTTP POST cryptée.

Oski se propage rapidement

En parlant de C&C, lors de l'analyse de l'échantillon Oski qu'il avait découvert, Aditya K Sood a vu une adresse IP russe, ce qui l'a conduit à l'un des serveurs Command & Control du voleur. Selon ThreatPost, il a forcé son chemin et a découvert que le malware se répand à un rythme alarmant. Lorsqu'il s'est connecté pour la première fois, Sood a vu les journaux de 88 ordinateurs infectés et un peu plus de 43 000 mots de passe volés. Environ 10 heures plus tard, il a jeté un coup d'œil et a découvert les journaux d'un énorme 249 hôtes infectés. Pendant ce temps, le nombre d'informations d'identification de connexion compromises était passé à un peu moins de 50 000.

Lorsqu'il a parlé à ThreatPost il y a quelques semaines, Sood a déclaré qu'Oski ne montrait aucun signe de ralentissement, ce qui signifie que les gens doivent être conscients du danger. Malheureusement, en raison de la multitude de méthodes de distribution différentes, il est difficile de dresser une liste de précautions à prendre. Cependant, une certaine sagesse conventionnelle de l'InfoSec devrait beaucoup aider. Soyez prudent avec les liens et les pièces jointes qui arrivent dans votre boîte de réception, essayez de vous en tenir à des sites Web de bonne réputation lors de la navigation et de garder votre logiciel à jour.

Par Duran
January 28, 2020
News
Français
January 28, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.