Oski Stealer zagraża właścicielom portfela kryptowalutowego poprzez celowanie w prywatne klucze
Smutna rzeczywistość polega na tym, że sprzedaż złośliwego oprogramowania może być niezwykle dochodowym biznesem. Nie brakuje niedoszłych cyberprzestępców, którzy nie są w stanie wytworzyć godnego uwagi zagrożenia, ale są bardziej niż gotowi wydać gotówkę na narzędzia opracowane przez innych ludzi. Jest to idealne rozwiązanie dla twórców szkodliwego oprogramowania, ponieważ mogą zarabiać na swoich umiejętnościach programistycznych, a jednocześnie fakt, że same nie uruchamiają kampanii, oznacza mniejsze prawdopodobieństwo, że zostaną złapani. Zapotrzebowanie jest ogromne, a klienci są wybredni. Rywalizacja jest trudna i nowicjuszowi nie jest łatwo wywrzeć znaczący wpływ. Jednak na początku tego miesiąca Aditya K Sood, badaczka bezpieczeństwa, odkryła niedawno wydanego złodzieja informacji, który może być wystarczająco potężny, aby wyrobić sobie markę.
Nazywa się to Oaler stealer i od około dwóch miesięcy jest kupowany i sprzedawany na podziemnych rynkach. Na razie wydaje się być skierowany głównie do użytkowników w Ameryce Północnej i Chinach, ale biorąc pod uwagę, że jest reklamowany na forach hakerskich, może się to bardzo szybko zmienić. Ale co wyróżnia go spośród tłumu?
Wszechstronny złodziej informacji ukierunkowany na przeglądarki i portfele kryptowalut
Fakt, że płacący cyberprzestępcy używają Oski w wielu różnych kampaniach, oznacza, że istnieje wiele wektorów infekcji. Według magazynu SecurityWeek, zajmującego się wiadomościami o bezpieczeństwie, kradzież jest dystrybuowany na wiele różnych sposobów, w tym do pobierania danych z napędu, zestawów exploitów i phishingu. Działa w 32- i 64-bitowych wersjach systemu Windows 7, Windows 8 / 8.1 i Windows 10.
Oski ma kilka metod kradzieży danych logowania. Może wyodrębniać dane z wpisów w rejestrze systemu Windows, bazach danych SQLite w przeglądarkach, sesyjnych plikach cookie, a także może przeprowadzać ataki typu Man-in-browser poprzez podłączenie się do procesu przeglądarki za pomocą zastrzyku DLL. Podsumowując, jest to dość wszechstronny narzędzie do kradzieży haseł.
Działa na praktycznie wszystkich przeglądarkach Firefox i Chromium, a także może przenosić zapisane dane logowania z klienta FTP FileZilla, a także klucze prywatne do wielu popularnych portfeli kryptowalut. Skradzione dane uwierzytelniające są najpierw przechowywane w folderze% ProgramData%, a następnie są kompresowane w pliku ZIP i wysyłane do serwera oszustów Command & Control (C&C) za pomocą zaszyfrowanego żądania HTTP POST.
Oski rozprzestrzenia się szybko
Mówiąc o C&C, analizując próbkę Oskiego, którą odkrył, Aditya K Sood zobaczyła rosyjską własność intelektualną, która doprowadziła go do jednego z serwerów Command & Control złodzieja. Według ThreatPost brutalnie wkroczył do środka i odkrył, że złośliwe oprogramowanie rozprzestrzenia się w alarmującym tempie. Kiedy logował się po raz pierwszy, Sood zobaczył logi z 88 zainfekowanych komputerów i nieco ponad 43 tysiące skradzionych haseł. Około 10 godzin później ponownie przejrzał i odkrył dzienniki od 249 zainfekowanych hostów. Tymczasem liczba zainfekowanych danych logowania wzrosła do prawie 50 tys.
Kiedy kilka tygodni temu rozmawiał z ThreatPost, Sood powiedział, że Oski nie wykazuje żadnych oznak spowolnienia, co oznacza, że ludzie muszą być świadomi niebezpieczeństwa. Niestety, z powodu wielu różnych metod dystrybucji, trudno jest sporządzić listę środków ostrożności, które można podjąć. Jednak pewna konwencjonalna wiedza na temat infosec powinna bardzo pomóc. Uważaj na linki i załączniki, które trafiają do skrzynki odbiorczej, staraj się trzymać podczas przeglądania wiarygodnych witryn, a oprogramowanie powinno być poprawione.
