Oski Stealerが秘密鍵を標的にして暗号ウォレットの所有者を脅かす
悲しい現実は、マルウェアの販売は非常に有利なビジネスになる可能性があるということです。注目に値する脅威を生成するスキルはないが、他の人が開発したツールに現金を費やすことを望んでいるサイバー犯罪者に不足はありません。これはマルウェアの作成者にぴったりです。なぜなら、彼らはプログラミングスキルから利益を得ることができ、同時に、キャンペーン自体を開始しないという事実は、彼らが捕まる可能性が低いことを意味します。しかし、需要は膨大であり、顧客はうるさいです。競争は厳しく、新人が大きな影響を与えることは容易ではありません。しかし、今月初めに、セキュリティ研究者であるAditya K Soodが 、最近リリースされた情報窃盗機を発見しました。
Oski stealerと呼ばれ、約2か月間、アンダーグラウンドマーケットで売買されています。当分の間、それは主に北米と中国のユーザーを対象としているようですが、ハッキングフォーラムで宣伝されていることを考えると、これは非常に急速に変わる可能性があります。しかし、何が群衆から際立っているのでしょうか?
ブラウザーと暗号通貨ウォレットをターゲットとする多目的な情報窃盗
サイバー犯罪者にお金を支払うことは、多数の異なるキャンペーンでOskiを使用するという事実は、複数の感染経路があることを意味します。セキュリティニュースアウトレットSecurityWeekによると、スティーラーは、 ドライブバイダウンロード 、エクスプロイトキット、フィッシングなど、さまざまな手段で配布されます 。 32ビットおよび64ビットバージョンのWindows 7、Windows 8 / 8.1、およびWindows 10で動作します。
Oskiには、ログイン資格情報を盗むためのいくつかの方法があります。 Windowsのレジストリ、ブラウザのSQLiteデータベース、セッションCookieのエントリからデータを抽出できます。また、DLLインジェクションの助けを借りてブラウザのプロセスに接続することで、Man-in-the-Browser攻撃を実行することもできます。全体として、かなり汎用性の高いパスワードスティーラーです。
これは事実上すべてのFirefoxベースおよびChromiumベースのブラウザーで動作し、FileZilla FTPクライアントから保存されたログインデータや、多くの一般的な暗号通貨ウォレットの秘密鍵を盗むこともできます。盗まれた資格情報は、まず%ProgramData%フォルダー内に保存され、その後ZIPファイルに圧縮され、暗号化されたHTTP POST要求を介して詐欺師のコマンド&コントロール(C&C)サーバーに送信されます。
Oskiは急速に広がっています
C&Cといえば、彼が発見したOskiサンプルの分析中に、Aditya K SoodはロシアのIPを見つけ、それが彼をスティーラーのCommand&Controlサーバーの1つに導きました。 ThreatPostによると、彼は強引に侵入し、マルウェアが驚くべき速度で拡散していることを発見しました。 Soodは、初めてログインしたときに、88台の感染したコンピューターからのログと、43,000を超える盗まれたパスワードを見ました。約10時間後、彼はさらに覗き込み、なんと249個の感染ホストからログを発見しました。その間、侵害されたログイン資格情報の数は5万件弱に増加しました。
Soodは、数週間前にThreatPostに話したとき、Oskiが減速の兆候を見せていないと述べました。残念ながら、さまざまな配布方法が多数存在するため、実行できる予防措置のリストをまとめるのは困難です。しかし、いくつかの従来の情報セキュリティの知恵は大いに役立つはずです。受信トレイに表示されるリンクと添付ファイルに注意し、ブラウジング中に評判の良いWebサイトに固執し、ソフトウェアの更新を維持してください。