„Oski Stealer“ grasina kriptovaliutų savininkams, nukreipdamas į asmeninius raktus

Liūdna realybė yra tai, kad kenkėjiškų programų pardavimas gali būti labai pelningas verslas. Netrūksta norinčių kibernetinių nusikaltėlių, kurie neturi įgūdžių iškelti didelę grėsmę, tačiau yra pasirengę išleisti grynuosius įrankius, kuriuos kuria kiti žmonės. Tai puikiai tinka kenkėjiškų programų kūrėjams, nes jie užsidirba pinigų iš savo programavimo įgūdžių, o tuo pačiu faktas, kad jie patys neplanuoja kampanijų, reiškia, kad jie yra mažiau linkę įklupti. Paklausa yra didžiulė, tačiau klientai yra išrankūs. Konkurencija yra tvirta, ir tai nėra labai lengva naujokui padaryti didelę įtaką. Tačiau anksčiau šį mėnesį saugumo tyrinėtojas Aditya K Sood atrado neseniai išleistą informacijos pavogimo mašiną, kuri gali būti pakankamai galinga, kad galėtų sau pavardę.

Jis vadinamas „Oski“ pavogtuvu, o maždaug po dviejų mėnesių jis buvo perkamas ir parduodamas požeminėse rinkose. Kol kas atrodo, kad jis daugiausia skirtas vartotojams Šiaurės Amerikoje ir Kinijoje, tačiau, atsižvelgiant į tai, kad jis reklamuojamas įsilaužimų forumuose, tai gali labai greitai pasikeisti. Bet kas jį išskiria iš minios?

Universalus informacijos kaupiklis, skirtas naršyklėms ir kriptovaliutų piniginėms

Tai, kad mokantys kibernetiniai nusikaltėliai „Oski“ naudoja daugybėje skirtingų kampanijų, reiškia, kad yra keli infekcijos pernešėjai. Remiantis „ SecurityWeek“ saugos naujienų rinkiniu, pavogtas įrenginys platinamas įvairiomis priemonėmis, įskaitant atsisiuntimus, panaudojimo rinkinius ir sukčiavimą. Jis veikia 32 ir 64 bitų „Windows 7“, „Windows 8 / 8.1“ ir „Windows 10“ versijose.

„Oski“ turi keletą prisijungimo duomenų pavogimo būdų. Jis gali išgauti duomenis iš „Windows“ registro įrašų, naršyklių „SQLite“ duomenų bazių, sesijos slapukų, taip pat gali atlikti „Man-in-the-browser“ atakas, prisijungdamas prie naršyklės proceso, naudodamas DLL injekciją. Apskritai, tai gana universalus slaptažodžių vagystė.

Jis veikia praktiškai visose „Firefox“ ir „Chromium“ turinčiose naršyklėse, be to, gali panaikinti išsaugotus prisijungimo duomenis iš „FileZilla FTP“ kliento, taip pat daugelio populiarių kriptovaliutų piniginių privačius raktus. Pavogti duomenys pirmiausia saugomi aplanke% ProgramData%, po to jie suspaudžiami ZIP faile ir siunčiami į sukčių „Command & Control“ (C&C) serverį per užšifruotą HTTP POST užklausą.

Oski greitai plinta

Kalbėdamas apie C&C, analizuodamas aptiktą „Oski“ pavyzdį, Aditya K Sood pamatė rusišką IP, kuris vedė jį į vieną iš vagysčių „Command & Control“ serverių. Anot „ ThreatPost“, jis žiauriai privertė pasitraukti ir sužinojo, kad kenkėjiška programa plinta nerimą keliančiu greičiu. Kai pirmą kartą prisijungė, Sood'as pamatė žurnalus iš 88 užkrėstų kompiuterių ir šiek tiek daugiau nei 43 tūkstančius pavogtų slaptažodžių. Maždaug po 10 valandų jis dar kartą žvilgtelėjo ir aptiko rąstų iš 249 užkrėstų šeimininkų. Tuo tarpu kompromituotų prisijungimo duomenų skaičius išaugo iki šiek tiek mažiau nei 50 tūkst.

Kalbėdamas su „ThreatPost“ prieš porą savaičių, Sood sakė, kad „Oski“ nerodo jokių sulėtėjimo požymių, o tai reiškia, kad žmonės turi žinoti apie pavojų. Deja, dėl daugybės skirtingų paskirstymo būdų yra sunku sudaryti atsargumo priemonių, kurių galite imtis, sąrašą. Vis dėlto tam tikra įprasta infosec išmintis turėtų labai padėti. Būkite atsargūs naudodami nuorodas ir priedus, esančius gautuosiuose, naršydami stenkitės laikytis patikimų svetainių ir laikykite savo programinę įrangą pataisytą.