Oski Stealer hotar Crypto-plånbokägare genom att rikta in privata nycklar

Den sorgliga verkligheten är att sälja skadlig programvara kan vara ett extremt lukrativt företag. Det finns ingen brist på wannabe-cyberbrottslingar som inte har färdigheter att producera ett anmärkningsvärt hot men är mer än villiga att spendera pengar på verktyg som andra människor utvecklar. Detta passar skaparna av skadlig programvara perfekt eftersom de får tjäna pengar på sina programmeringsfärdigheter, och samtidigt är det faktum att de inte startar själva kampanjerna att de är mindre benägna att bli fångade. Efterfrågan är enorm, och kunderna är dock picky. Tävlingen är hård och det är inte så lätt för en nykomling att göra en betydande inverkan. Tidigare denna månad upptäckte dock Aditya K Sood, en säkerhetsforskare, en nyligen släppt informationsstealer som kan vara tillräckligt kraftfull för att ge sig ett namn.

Det kallas Oski-stealer, och det har köpts och sålts på de underjordiska marknaderna i cirka två månader nu. För tillfället verkar det mestadels riktas till användare i Nordamerika och Kina, men med tanke på att det annonseras på hackingforum kan detta förändras mycket snabbt. Men vad gör att det sticker ut från mängden?

En mångsidig informationstealer som är inriktad på webbläsare och cryptocurrency plånböcker

Det faktum att betalande cyberbrottslingar använder Oski i många olika kampanjer innebär att det finns flera infektionsvektorer. Enligt säkerhetsnyhetsuttaget SecurityWeek distribueras stealern på olika sätt, inklusive nedladdning av drivrutiner, exploateringssatser och phishing. Det fungerar på 32- och 64-bitarsversionerna av Windows 7, Windows 8/8.1 och Windows 10.

Oski har flera metoder för att stjäla inloggningsuppgifter. Det kan extrahera informationen från poster i Windows-registret, webbläsarnas SQLite-databaser, sessionskakor och den kan också utföra attacker från webbläsaren genom att ansluta till webbläsarens process med hjälp av en DLL-injektion. Sammantaget är det en ganska mångsidig lösenordstealer.

Det fungerar på praktiskt taget alla Firefox- och krombaserade webbläsare, och det kan också spela in sparade inloggningsdata från FileZilla FTP-klienten såväl som de privata nycklarna för ett antal populära cryptocurrency-plånböcker. De stulna referenser lagras först i mappen% ProgramData%, varefter de komprimeras i en ZIP-fil och skickas till skurkarnas Command & Control (C&C) -server via en krypterad HTTP POST-begäran.

Oski sprider sig snabbt

På tal om C&C, medan han analyserade Oski-provet som han hade upptäckt, såg Aditya K Sood en rysk IP, vilket ledde honom till en av stjälarens Command & Control-servrar. Enligt ThreatPost tvingade han sig iväg och upptäckte att skadlig programvara sprider sig i en oroväckande takt. När han loggade in för första gången såg Sood loggar från 88 infekterade datorer och drygt 43 tusen stulna lösenord. Cirka 10 timmar senare tog han en ny titt och upptäckte loggar från en mängd 249 infekterade värdar. Samtidigt hade antalet komprometterade inloggningsuppgifter ökat till knappt 50 tusen.

När han talade med ThreatPost för ett par veckor sedan, sa Sood att Oski inte visade några tecken på att bromsa, vilket innebär att människor måste vara medvetna om faran. På grund av många olika distributionsmetoder är det tyvärr svårt att sätta ihop en lista med försiktighetsåtgärder som du kan vidta. Vissa konventionella infosec visdomar bör dock hjälpa mycket. Var försiktig med länkar och bilagor som landar i din inkorg, försök att hålla dig till ansedda webbplatser när du surfar och håll programvaran uppdaterad.