Oski Stealer bedreigt Crypto Wallet-eigenaars door privésleutels te targeten

De trieste realiteit is dat het verkopen van malware een extreem lucratieve onderneming kan zijn. Er is geen tekort aan wannabe cybercriminelen die niet de vaardigheden hebben om een opmerkelijke bedreiging te produceren, maar meer dan bereid zijn om geld uit te geven aan tools die andere mensen ontwikkelen. Dit past perfect bij de makers van malware, omdat ze geld kunnen verdienen met hun programmeervaardigheden en tegelijkertijd het feit dat ze de campagnes niet zelf lanceren, betekent dat ze minder snel worden betrapt. De vraag is enorm en de klanten zijn kieskeurig. De concurrentie is zwaar en het is niet erg gemakkelijk voor een nieuwkomer om een aanzienlijke impact te maken. Eerder deze maand ontdekte Aditya K Sood, een beveiligingsonderzoeker, echter een recent uitgebrachte informatie-stealer die misschien krachtig genoeg was om naam te maken.

Het wordt de Oski-stealer genoemd en het wordt nu ongeveer twee maanden op de ondergrondse markten gekocht en verkocht. Vooralsnog lijkt het vooral te zijn gericht op gebruikers in Noord-Amerika en China, maar gezien het wordt geadverteerd op hackforums, kan dit zeer snel veranderen. Maar wat onderscheidt het van de massa?

Een veelzijdige informatie-stealer gericht op browsers en cryptocurrency-portefeuilles

Het feit dat het betalen van cybercriminelen Oski in tal van verschillende campagnes gebruikt, betekent dat er meerdere infectievectoren zijn. Volgens Security News outlet SecurityWeek wordt de stealer op verschillende manieren gedistribueerd, waaronder drive-by downloads, exploitkits en phishing. Het werkt op de 32- en 64-bits versies van Windows 7, Windows 8 / 8.1 en Windows 10.

Oski heeft verschillende methoden voor het stelen van inloggegevens. Het kan de gegevens extraheren uit vermeldingen in het Windows-register, SQLite-databases van browsers, sessiecookies en het kan ook Man-in-the-browser-aanvallen uitvoeren door verbinding te maken met het browserproces met behulp van een DLL-injectie. Al met al is het een nogal veelzijdige wachtwoord-stealer.

Het werkt op vrijwel alle Firefox- en Chromium-gebaseerde browsers en het kan ook de opgeslagen inloggegevens van de FileZilla FTP-client besturen, evenals de privésleutels voor een aantal populaire cryptocurrency-portefeuilles. De gestolen inloggegevens worden eerst opgeslagen in de map% ProgramData%, waarna ze worden gecomprimeerd in een ZIP-bestand en via een gecodeerd HTTP POST-verzoek naar de Command & Control (C&C) -server van de boeven worden gestuurd.

Oski verspreidt zich snel

Over de C&C gesproken, tijdens het analyseren van het Oski-monster dat hij had ontdekt, zag Aditya K Sood een Russisch IP-adres dat hem naar een van de Command & Control-servers van de stealer leidde. Volgens ThreatPost drong hij bruut zijn weg naar binnen en ontdekte hij dat de malware zich in een alarmerend tempo verspreidt. Toen hij voor het eerst inlogde, zag Sood logboeken van 88 geïnfecteerde computers en iets meer dan 43 duizend gestolen wachtwoorden. Ongeveer 10 uur later nam hij nog een kijkje en ontdekte logboeken van maar liefst 249 geïnfecteerde hosts. Ondertussen was het aantal gecompromitteerde inloggegevens gegroeid tot iets minder dan 50 duizend.

Toen hij een paar weken geleden met ThreatPost sprak, zei Sood dat Oski geen tekenen van vertraging vertoonde, wat betekent dat mensen zich bewust moeten zijn van het gevaar. Helaas is het vanwege de veelheid van verschillende distributiemethoden moeilijk om een lijst met voorzorgsmaatregelen samen te stellen die u kunt nemen. Sommige conventionele infosec-wijsheid zou echter veel moeten helpen. Wees voorzichtig met de koppelingen en bijlagen die in uw inbox belanden, probeer vast te houden aan gerenommeerde websites tijdens het browsen en houd uw software op orde.