Az Oski Stealer veszélyezteti a rejtjelző pénztárca tulajdonosát a magánkulcsok célzásával

A szomorú valóság az, hogy a rosszindulatú programok értékesítése rendkívül jövedelmező üzlet lehet. Nem hiányzik azoknak a számítógépes bűnözőknek, akiknek nincs képessége figyelemre méltó fenyegetés előidézésére, ám több, mint hajlandó készpénzt költeni olyan eszközökre, amelyeket más emberek fejlesztenek. Ez tökéletesen illeszkedik a rosszindulatú programok készítőihez, mert programozási készségeikből pénzt keresnek, és ugyanakkor az a tény, hogy maguk nem indítják el a kampányokat, azt jelentik, hogy kevésbé valószínű, hogy elkapnak. A kereslet hatalmas, és az ügyfelek azonban válogatottak. A verseny kemény, és az újonnan érkezők számára nem túl könnyű jelentős hatást gyakorolni. A hónap elején azonban Aditya K Sood biztonsági kutató felfedezett egy nemrégiben kiadott információs lopót, amely elég nagy teljesítményű ahhoz, hogy nevet adjon magának.

Oski lopógépnek hívják, és körülbelül két hónapon keresztül vásárolták és adták el a földalatti piacokon. Egyelőre úgy tűnik, hogy elsősorban Észak-Amerika és Kína felhasználóira irányul, de mivel ezt a hackelési fórumokon hirdetik, ez nagyon gyorsan megváltozhat. De mi teszi kitűnővé a tömegből?

Sokoldalú információs stealer, amely böngészőket és rejtett pénznemű pénztárcákat céloz meg

Az a tény, hogy a fizető kiberbűnözők számos különböző kampányban használják az Osket, azt jelenti, hogy több fertőző vektor is létezik. A SecurityWeek biztonsági hírforrás szerint a poggyász különféle eszközökön keresztül terjesztésre kerül, ideértve a letöltéseket, az adatkészleteket és az adathalászatot. A Windows 7, Windows 8 / 8.1 és Windows 10 32 és 64 bites verzióin működik.

Az Oski számos módszerrel rendelkezik a bejelentkezési adatok ellopására. Kicsomagolja az adatokat a Windows rendszerleíró adatbázisból, a böngészők SQLite adatbázisaiból, a munkamenet cookie-jaiból, és képes végrehajtani a Man-in-the-böngészőben támadásokat úgy is, hogy a böngésző folyamatához csatlakozik egy DLL injekció segítségével. Mindent összevetve, ez egy meglehetősen sokoldalú jelszólopó.

Szinte minden Firefox- és Chromium-alapú böngészőn működik, és a FileZilla FTP kliensről mentett bejelentkezési adatokat, valamint számos népszerű kriptovaluta pénztárca magánkulcsait is letölti. Az ellopott hitelesítő adatokat először a% ProgramData% mappában tárolják, majd ZIP fájlba tömörítik és titkosított HTTP POST kéréssel továbbítják a crooks Command & Control (C&C) szerveréhez.

Oski gyorsan terjed

A C&C-ről, miközben a felfedezett Oski-mintát elemezte, Aditya K Sood egy orosz IP-t látott, ami vezetett az egyik lopógép Command & Control szerveréhez. A ThreatPost szerint brutálisan kényszerítette az utat, és rájött, hogy a rosszindulatú program riasztó ütemben terjed. Amikor először jelentkezett be, Sood 88 fertőzött számítógép naplóit látta, és valamivel több mint 43 ezer ellopott jelszót. Körülbelül 10 órával később újból megpillantotta és naplókat fedezett fel egy óriási 249 fertőzött gazdagépről. Időközben a veszélyeztetett bejelentkezési adatok száma alig 50 ezerre nőtt.

Amikor néhány héttel ezelőtt beszélt a ThreatPost-szal, Sood elmondta, hogy Oski nem mutatott lassulási jeleket, ami azt jelenti, hogy az embereknek tisztában kell lenniük a veszélyekkel. Sajnos a különféle terjesztési módszerek sokasága miatt nehéz összeállítani az elvégzendő óvintézkedések listáját. Néhány hagyományos infosec-bölcsességnek azonban sokat segíthet. Vigyázzon a beérkező levelekben található linkekkel és mellékletekkel, böngészés közben próbáljon ragaszkodni a jó hírű webhelyekhez, és tartsa folyamatosan a szoftvert.