Oski Stealer通过定位私钥来威胁加密钱包所有者
可悲的现实是,出售恶意软件可能是一项利润丰厚的业务。并不乏想拥有网络威胁的人,他们不具备发出引人注目的威胁的技能,但更乐意花钱购买他人开发的工具。这非常适合恶意软件创建者,因为他们可以从自己的编程技能中获利,同时,他们自己不发起活动的事实意味着他们被抓住的可能性较小。需求巨大,但是客户挑剔。竞争是激烈的,对于新来者来说要产生重大影响并非易事。但是,本月初,安全研究人员Aditya K Sood发现了一个最近发布的信息窃取者,该窃取者可能足够强大,可以自己出名。
它被称为Oski偷窃者,并且已经在地下市场上买卖了大约两个月。目前,它似乎主要针对北美和中国的用户,但是鉴于它是在黑客论坛上宣传的,因此这种情况可以很快改变。但是什么使它在人群中脱颖而出呢?
针对浏览器和加密货币钱包的多功能信息窃取者
付费网络犯罪分子在众多不同的活动中使用Oski的事实意味着存在多种感染媒介。根据安全新闻媒体SecurityWeek的报道,盗窃者是通过多种方式分发的,包括偷渡式下载 ,漏洞利用工具包和网络钓鱼。它适用于Windows 7,Windows 8 / 8.1和Windows 10的32位和64位版本。
Oski有几种窃取登录凭据的方法。它可以从Windows注册表中的条目,浏览器的SQLite数据库,会话cookie中提取数据,还可以通过DLL注入与浏览器的进程挂钩来执行浏览器中的攻击。总而言之,这是一个相当通用的密码窃取者。
它几乎可以在所有基于Firefox和Chromium的浏览器上运行,并且还可以从FileZilla FTP客户端以及许多流行的加密货币钱包的私钥中窃取已保存的登录数据。被盗的凭据首先存储在%ProgramData%文件夹中,然后将它们压缩为ZIP文件,并通过加密的HTTP POST请求发送到骗子的命令与控制(C&C)服务器。
奥斯基传播迅速
说到C&C,在分析他发现的Oski样本时,Aditya K Sood看到了一个俄罗斯IP,这使他进入了盗窃者的Command&Control服务器之一。据ThreatPost称 ,他强行闯入 ,他发现恶意软件正以惊人的速度传播。当他第一次登录时,Sood看到了88台受感染计算机的日志以及略多于4.3万个被盗密码。大约10小时后,他又进行了一次偷看,并从249个受感染主机中发现了日志。同时,被破坏的登录凭据的数量已增加到不足5万个。
几周前,当他与ThreatPost进行交谈时,Sood说Oski并没有放缓的迹象,这意味着人们必须意识到这种危险。不幸的是,由于有许多不同的分发方法,因此很难将您可以采取的预防措施清单汇总在一起。不过,一些常规的信息安全智慧应该会有所帮助。请谨慎使用收件箱中的链接和附件,在浏览时尽量坚持使用信誉良好的网站,并及时修补软件。