Oski Stealer truer eiere av krypto-lommebøker ved å målrette mot private nøkler

Den triste realiteten er at å selge skadelig programvare kan være en ekstremt lukrativ virksomhet. Det er ingen mangel på wannabe-kriminelle som ikke har ferdighetene til å produsere en bemerkelsesverdig trussel, men som er mer enn villige til å bruke penger på verktøy som andre mennesker utvikler. Dette passer malware-skaperne perfekt fordi de får tjent penger på programmeringsferdighetene sine, og samtidig at det at de ikke starter kampanjene selv, betyr at det er mindre sannsynlig at de blir fanget. Etterspørselen er enorm, og kundene er kresen. Konkurransen er stiv, og det er ikke veldig lett for en nykommer å gjøre betydelig innvirkning. Tidligere denne måneden oppdaget imidlertid Aditya K Sood, en sikkerhetsforsker, en nylig utgitt informasjonsstealer som kan være kraftig nok til å gi seg et navn.

Den kalles Oski-stjeler, og den er kjøpt og solgt på de underjordiske markedene i omtrent to måneder nå. Foreløpig ser det ut til å være mest rettet mot brukere i Nord-Amerika og Kina, men gitt at det annonseres på hackeforum, kan dette endre seg veldig raskt. Men hva får det til å skille seg ut fra mengden?

En allsidig informasjonstealer som er målrettet mot nettlesere og cryptocurrency lommebøker

At betalende nettkriminelle bruker Oski i mange forskjellige kampanjer, betyr at det er flere infeksjonsvektorer. I følge sikkerhetsnyhetsuttaket SecurityWeek distribueres stjålet på en rekke forskjellige måter, inkludert nedlastede enheter, utnyttingssett og phishing. Det fungerer på 32- og 64-bits versjoner av Windows 7, Windows 8 / 8.1 og Windows 10.

Oski har flere metoder for å stjele påloggingsinformasjon. Den kan trekke ut dataene fra oppføringer i Windows-registeret, nettlesernes SQLite-databaser, øktkaker, og det kan også utføre Man-in-the-browser-angrep ved å koble seg til nettleserens prosess ved hjelp av en DLL-injeksjon. Alt i alt er det en ganske allsidig passordstealer.

Den fungerer på praktisk talt alle Firefox- og krombaserte nettlesere, og den kan også hente lagrede innloggingsdata fra FileZilla FTP-klienten, så vel som de private nøklene for en rekke populære cryptocurrency lommebøker. De stjålne legitimasjonene lagres først i% ProgramData% -mappen, hvoretter de komprimeres i en ZIP-fil og sendes til skurkenes Command & Control (C&C) server via en kryptert HTTP POST-forespørsel.

Oski sprer seg raskt

Når han snakket om C&C, mens han analyserte Oski-prøven han hadde oppdaget, så Aditya K Sood en russisk IP, noe som førte ham til en av stjelerens Command & Control-servere. I følge ThreatPost tvang han på vei inn, og han oppdaget at skadelig programvare sprer seg i en alarmerende hastighet. Da han logget inn for første gang, så Sood logger fra 88 infiserte datamaskiner og litt over 43 tusen stjålne passord. Cirka 10 timer senere tok han en ny titt og oppdaget logger fra hele 249 infiserte verter. I mellomtiden hadde antallet kompromitterte innloggingsopplysninger vokst til i underkant av 50 tusen.

Da han snakket med ThreatPost for et par uker siden, sa Sood at Oski ikke viste noen tegn til å bremse, noe som betyr at folk må være klar over faren. På grunn av mangfoldet av forskjellige distribusjonsmetoder er det dessverre vanskelig å sette sammen en liste over forhåndsregler du kan ta. Noen konvensjonelle infosec visdom bør hjelpe mye, men. Vær forsiktig med koblingene og vedleggene som lander i innboksen, prøv å holde deg til anerkjente nettsteder når du surfer, og hold programvaren oppdatert.