Oski Stealer minaccia i possessori di Crypto Wallet prendendo di mira le chiavi private

La triste realtà è che la vendita di malware potrebbe essere un'attività estremamente redditizia. Non mancano gli aspiranti criminali informatici che non hanno le capacità per produrre una minaccia degna di nota ma sono più che disposti a spendere soldi in strumenti sviluppati da altre persone. Questo si adatta perfettamente ai creatori di malware perché riescono a trarre profitto dalle loro capacità di programmazione e, allo stesso tempo, il fatto che non lancino le campagne stesse significa che hanno meno probabilità di essere scoperti. La domanda è enorme e i clienti sono esigenti, però. La competizione è rigida e non è molto facile per un nuovo arrivato avere un impatto significativo. All'inizio di questo mese, tuttavia, Aditya K Sood, una ricercatrice di sicurezza, ha scoperto un ladro di informazioni recentemente rilasciato che potrebbe essere abbastanza potente da farsi un nome.

Si chiama il ladro di Oski ed è stato acquistato e venduto sui mercati sotterranei da circa due mesi. Per il momento, sembra essere principalmente rivolto agli utenti del Nord America e della Cina, ma dato che è pubblicizzato sui forum di hacking, questo può cambiare molto rapidamente. Ma cosa lo distingue dalla massa?

Un versatile ladro di informazioni destinato ai browser e ai portafogli di criptovaluta

Il fatto che i criminali informatici paganti utilizzino Oski in numerose campagne diverse significa che ci sono più vettori di infezione. Secondo il notiziario sulla sicurezza SecurityWeek, il ladro viene distribuito in vari modi, inclusi download drive-by, kit di exploit e phishing. Funziona con le versioni a 32 e 64 bit di Windows 7, Windows 8 / 8.1 e Windows 10.

Oski ha diversi metodi per rubare le credenziali di accesso. Può estrarre i dati dalle voci nel registro di Windows, dai database SQLite dei browser, dai cookie di sessione e può anche eseguire attacchi Man-in-the-browser collegandosi al processo del browser con l'aiuto di un'iniezione DLL. Tutto sommato, è un ladro di password piuttosto versatile.

Funziona praticamente su tutti i browser basati su Firefox e Chromium e può anche rubare i dati di accesso salvati dal client FTP FileZilla e le chiavi private per un numero di portafogli di criptovaluta popolari. Le credenziali rubate vengono prima archiviate nella cartella% ProgramData%, dopo di che vengono compresse in un file ZIP e inviate al server Command & Control (C&C) dei criminali tramite una richiesta HTTP POST crittografata.

Oski si sta diffondendo rapidamente

Parlando del C&C, mentre analizzava il campione di Oski che aveva scoperto, Aditya K Sood vide un IP russo, che lo condusse a uno dei server Command & Control del ladro. Secondo ThreatPost, si è fatto avanti con forza e ha scoperto che il malware si sta diffondendo a un ritmo allarmante. Quando ha effettuato l'accesso per la prima volta, Sood ha visto i registri di 88 computer infetti e poco più di 43 mila password rubate. Circa 10 ore dopo, ha dato un'altra sbirciatina e ha scoperto i registri di un enorme 249 host infetti. Nel frattempo, il numero di credenziali di accesso compromesse era cresciuto a poco meno di 50 mila.

Quando ha parlato con ThreatPost un paio di settimane fa, Sood ha affermato che Oski non mostrava segni di rallentamento, il che significa che le persone devono essere consapevoli del pericolo. Sfortunatamente, a causa della moltitudine di diversi metodi di distribuzione, è difficile mettere insieme un elenco di precauzioni che puoi prendere. Un po 'di saggezza infosec convenzionale dovrebbe aiutare molto, però. Fai attenzione ai collegamenti e agli allegati presenti nella tua casella di posta, prova a rimanere fedele a siti Web affidabili durante la navigazione e mantieni il tuo software aggiornato.