Oski Stealer ameaça proprietários de carteiras criptográficas segmentando chaves privadas

A triste realidade é que a venda de malware pode ser um negócio extremamente lucrativo. Não faltam cibercriminosos que não têm a capacidade de produzir uma ameaça notável, mas estão mais do que dispostos a gastar dinheiro com ferramentas desenvolvidas por outras pessoas. Isso combina perfeitamente com os criadores de malware, porque eles ganham dinheiro com suas habilidades de programação e, ao mesmo tempo, o fato de não lançarem as próprias campanhas significa que são menos propensos a serem pegos. A demanda é enorme e os clientes são exigentes. A concorrência é forte e não é muito fácil para um novato causar um impacto significativo. No início deste mês, no entanto, Aditya K Sood, pesquisadora de segurança, descobriu um ladrão de informações recém-lançado que pode ser poderoso o suficiente para dar um nome a si próprio.

Chama-se ladrão de Oski e é comprado e vendido nos mercados subterrâneos há cerca de dois meses. Por enquanto, parece ser voltado principalmente para usuários da América do Norte e China, mas, como é anunciado em fóruns de hackers, isso pode mudar muito rapidamente. Mas o que o faz se destacar da multidão?

Um ladrão de informações versátil direcionado a navegadores e carteiras de criptomoedas

O fato de os cibercriminosos pagadores usarem o Oski em várias campanhas diferentes significa que existem vários vetores de infecção. De acordo com o SecurityWeek, o ladrão é distribuído por vários meios, incluindo downloads drive-by, kits de exploração e phishing. Ele funciona nas versões de 32 e 64 bits do Windows 7, Windows 8 / 8.1 e Windows 10.

Oski possui vários métodos para roubar credenciais de login. Ele pode extrair os dados de entradas no registro do Windows, bancos de dados SQLite dos navegadores, cookies de sessão e também pode executar ataques Man-in-the-browser conectando-se ao processo do navegador com a ajuda de uma injeção de DLL. Em suma, é um ladrão de senhas bastante versátil.

Ele funciona em praticamente todos os navegadores baseados em Firefox e Chromium, e também pode roubar os dados de login salvos do cliente FTP do FileZilla, bem como as chaves privadas para várias carteiras populares de criptomoedas. As credenciais roubadas são armazenadas primeiro na pasta% ProgramData%, após o que são compactadas em um arquivo ZIP e enviadas ao servidor de Comando e Controle (C&C) dos criminosos por meio de uma solicitação HTTP POST criptografada.

Oski está se espalhando rapidamente

Falando na C&C, enquanto analisava a amostra de Oski que ele descobrira, Aditya K Sood viu um IP russo, o que o levou a um dos servidores de Comando e Controle do ladrão. De acordo com o ThreatPost, ele forçou sua entrada brutalmente e descobriu que o malware está se espalhando a um ritmo alarmante. Quando ele se conectou pela primeira vez, Sood viu registros de 88 computadores infectados e um pouco mais de 43 mil senhas roubadas. Cerca de 10 horas depois, ele deu outra espiada e descobriu logs de 249 hosts infectados. Enquanto isso, o número de credenciais de login comprometidas aumentou para pouco menos de 50 mil.

Quando ele falou com o ThreatPost, há algumas semanas, Sood disse que Oski não mostrava sinais de desaceleração, o que significa que as pessoas devem estar cientes do perigo. Infelizmente, devido à multiplicidade de diferentes métodos de distribuição, é difícil reunir uma lista de precauções que você pode tomar. Alguma sabedoria infosec convencional deve ajudar muito, no entanto. Tenha cuidado com os links e anexos que chegam à sua caixa de entrada, tente se ater a sites respeitáveis ao navegar e mantenha o software atualizado.