Oski Stealer truer ejere af crypto-tegnebøger ved at målrette mod private taster

Den triste virkelighed er, at salg af malware kan være en ekstremt lukrativ forretning. Der er ingen mangel på wannabe-cyberkriminelle, der ikke har evnerne til at producere en bemærkelsesværdig trussel, men er mere end villige til at bruge penge på værktøjer, som andre mennesker udvikler. Dette passer perfekt til malware-skabere, fordi de får at tjene penge på deres programmeringsevner, og på samme tid betyder det faktum, at de ikke selv starter selve kampagnerne, at de er mindre tilbøjelige til at blive fanget. Efterspørgslen er enorm, og kunderne er imidlertid betyder. Konkurrencen er hård, og det er ikke meget let for en nytilkomne at gøre en betydelig indflydelse. Tidligere denne måned opdagede Aditya K Sood, en sikkerhedsforsker, imidlertid en nyligt frigivet informationsstealer, der muligvis er kraftig nok til at give et navn til sig selv.

Det kaldes Oski-stjæleren, og det er blevet købt og solgt på de underjordiske markeder i cirka to måneder nu. For tiden ser det ud til at være mest rettet mod brugere i Nordamerika og Kina, men i betragtning af at det annonceres på hackingfora, kan dette ændre sig meget hurtigt. Men hvad får det til at skille sig ud fra mængden?

En alsidig informationstealer, der er målrettet mod browsere og cryptocurrency tegnebøger

Det faktum, at betalende cyberkriminelle bruger Oski i adskillige forskellige kampagner, betyder, at der er flere infektionsvektorer. Ifølge sikkerhedsnyhedskontoret SecurityWeek distribueres stjæleren på en række forskellige måder, herunder download-enheder til drive-by, udnyttelsessæt og phishing. Det fungerer på 32- og 64-bit versionerne af Windows 7, Windows 8 / 8.1 og Windows 10.

Oski har flere metoder til at stjæle loginoplysninger. Det kan udtrække dataene fra poster i Windows-registreringsdatabasen, browsers SQLite-databaser, session-cookies, og det kan også udføre Man-in-the-browser-angreb ved at tilslutte sig browserens proces ved hjælp af en DLL-injektion. Alt i alt er det en temmelig alsidig adgangskodestealer.

Det fungerer på stort set alle Firefox- og Chromium-baserede browsere, og det kan også hente de gemte login-data fra FileZilla FTP-klienten såvel som de private nøgler til et antal populære cryptocurrency tegnebøger. De stjålne legitimationsoplysninger gemmes først i mappen% ProgramData%, hvorefter de komprimeres i en ZIP-fil og sendes til skurkenes Command & Control (C&C) server via en krypteret HTTP POST-anmodning.

Oski spreder sig hurtigt

Når man talte om C&C, mens han analyserede den Oski-prøve, han havde opdaget, så Aditya K Sood en russisk IP, hvilket førte ham til en af stjælerens Command & Control-servere. Ifølge ThreatPost tvang han brutet ind og opdagede, at malware spreder sig i en alarmerende hastighed. Da han logget ind for første gang, så Sood logfiler fra 88 inficerede computere og lidt over 43 tusind stjålne adgangskoder. Cirka 10 timer senere kiggede han endnu et kig og opdagede logfiler fra de hele 249 inficerede værter. I mellemtiden var antallet af kompromitterede loginoplysninger vokset til knap 50 tusind.

Da han talte med ThreatPost for et par uger siden, sagde Sood, at Oski ikke viste nogen tegn på at bremse, hvilket betyder, at folk skal være opmærksomme på faren. På grund af mangfoldigheden af forskellige distributionsmetoder er det desværre vanskeligt at sammensætte en liste over forholdsregler, som du kan tage. Noget konventionel infosec-visdom skal dog hjælpe meget. Vær forsigtig med de links og vedhæftede filer, der lander i din indbakke, prøv at holde dig til hæderlige websteder, når du gennemser, og hold din software opdateret.