Oski Stealer угрожает владельцам крипто-кошельков, ориентируясь на частные ключи

Печальная реальность такова, что продажа вредоносных программ может быть чрезвычайно прибыльным бизнесом. Нет недостатка в киберпреступниках, которые не имеют навыков для создания заслуживающей внимания угрозы, но более чем готовы тратить деньги на инструменты, которые разрабатывают другие люди. Это идеально подходит создателям вредоносного ПО, потому что они получают прибыль от своих навыков программирования, и в то же время тот факт, что они не запускают сами кампании, означает, что они с меньшей вероятностью будут пойманы. Спрос огромен, а клиенты требовательны. Конкуренция жесткая, и новичку не очень легко оказать существенное влияние. Однако в начале этого месяца исследователь безопасности Адитя К. Суд обнаружил недавно выпущенный информационный похититель, который может быть достаточно мощным, чтобы сделать себе имя.

Он называется Oski Stealer, и его покупали и продавали на подпольных рынках уже около двух месяцев. В настоящее время он, по-видимому, в основном предназначен для пользователей в Северной Америке и Китае, но, учитывая, что он рекламируется на хакерских форумах, это может измениться очень быстро. Но что выделяет его из толпы?

Универсальный информационный краж, ориентированный на браузеры и кошельки криптовалют

Тот факт, что платящие киберпреступники используют Oski в многочисленных различных кампаниях, означает, что существует несколько векторов заражения. По сообщению службы безопасности SecurityWeek, похититель распространяется различными способами, включая загрузку с диска, наборы эксплойтов и фишинг. Он работает в 32- и 64-разрядных версиях Windows 7, Windows 8 / 8.1 и Windows 10.

У Оски есть несколько способов кражи учетных данных. Он может извлекать данные из записей в реестре Windows, базах данных SQLite браузеров, сеансовых cookie-файлах, а также может выполнять атаки «человек в браузере», подключаясь к процессу браузера с помощью внедрения DLL. В общем, это довольно универсальный кража паролей.

Он работает практически во всех браузерах на базе Firefox и Chromium, а также может украсть сохраненные данные для входа в систему из FTP-клиента FileZilla, а также личные ключи для ряда популярных кошельков криптовалюты. Украденные учетные данные сначала сохраняются в папке% ProgramData%, после чего они сжимаются в ZIP-файл и отправляются на сервер управления и контроля (C & C) мошенников с помощью зашифрованного HTTP-запроса POST.

Оски быстро распространяется

Говоря о C & C, анализируя обнаруженный им образец Oski, Адитья К. Суд увидел российский IP-адрес, который привел его к одному из серверов Command & Control стилера. Согласно ThreatPost, он грубо взломал свой путь и обнаружил, что вредоносное ПО распространяется с угрожающей скоростью. При первом входе в систему Sood увидел журналы с 88 зараженных компьютеров и чуть более 43 тысяч украденных паролей. Примерно через 10 часов он еще раз заглянул и обнаружил журналы с колоссальных 249 зараженных хостов. Между тем число скомпрометированных учетных данных выросло до чуть менее 50 тысяч.

Когда он говорил с ThreatPost пару недель назад, Суд сказал, что у Оски не было никаких признаков замедления, а это означает, что люди должны осознавать опасность. К сожалению, из-за множества различных методов распространения трудно составить список мер предосторожности, которые вы можете предпринять. Тем не менее, некоторая общепринятая информация в области информационных технологий должна сильно помочь. Будьте осторожны со ссылками и вложениями, которые попадают в ваш почтовый ящик, старайтесь придерживаться авторитетных веб-сайтов при просмотре и держите свое программное обеспечение исправленным.