Oski Stealer通過定位私鑰來威脅加密錢包所有者

可悲的現實是，出售惡意軟件可能是一項利潤豐厚的業務。並不乏想擁有網絡威脅的人，他們不具備發出引人注目的威脅的技能，但更樂意花錢購買他人開發的工具。這非常適合惡意軟件創建者，因為他們可以從自己的編程技能中獲利，同時，他們自己不發起活動的事實意味著他們被抓住的可能性較小。需求巨大，但是客戶挑剔。競爭是激烈的，對於新來者來說要產生重大影響並非易事。但是，本月初，安全研究人員Aditya K Sood發現了一個最近發布的信息竊取者，該竊取者可能足夠強大，可以自己出名。

它被稱為Oski偷竊者，並且已經在地下市場上買賣了大約兩個月。目前，它似乎主要針對北美和中國的用戶，但是鑑於它是在黑客論壇上宣傳的，因此這種情況可能會很快改變。但是什麼使它在人群中脫穎而出呢？

針對瀏覽器和加密貨幣錢包的多功能信息竊取者

付費網絡犯罪分子在眾多不同的活動中使用Oski的事實意味著存在多種感染媒介。根據安全新聞媒體SecurityWeek的報導，盜竊者通過各種方式進行分發，包括偷渡式下載 ，漏洞利用工具包和網絡釣魚。它適用於Windows 7，Windows 8 / 8.1和Windows 10的32位和64位版本。

Oski有幾種竊取登錄憑據的方法。它可以從Windows註冊表中的條目，瀏覽器的SQLite數據庫，會話cookie中提取數據，還可以通過DLL注入與瀏覽器的進程掛鉤來執行瀏覽器中的攻擊。總而言之，這是一個相當通用的密碼竊取者。

它幾乎可以在所有基於Firefox和Chromium的瀏覽器上運行，並且還可以從FileZilla FTP客戶端以及許多流行的加密貨幣錢包的私鑰中竊取已保存的登錄數據。被盜的憑據首先存儲在％ProgramData％文件夾中，然後將它們壓縮為ZIP文件，並通過加密的HTTP POST請求發送到騙子的命令與控制（C＆C）服務器。

奧斯基傳播迅速

說到C＆C，在分析他發現的Oski樣本時，Aditya K Sood看到了一個俄羅斯IP，這使他進入了盜竊者的Command＆Control服務器之一。據ThreatPost稱 ，他強行闖入 ，他發現惡意軟件正以驚人的速度傳播。當他第一次登錄時，Sood看到了88台受感染計算機的日誌以及略多於4.3萬個被盜密碼。大約10小時後，他又進行了一次偷看，並從249個受感染主機中發現了日誌。同時，被破壞的登錄憑據的數量已增加到不足5萬個。

幾週前，當他與ThreatPost進行交談時，Sood說Oski並沒有放緩的跡象，這意味著人們必須意識到這種危險。不幸的是，由於有許多不同的分發方法，因此很難將您可以採取的預防措施清單匯總在一起。不過，一些常規的信息安全智慧應該會有所幫助。請謹慎使用收件箱中的鏈接和附件，在瀏覽時盡量堅持使用信譽良好的網站，並及時修補軟件。