Oski Info Stealer leert Krypto-Wallets und extrahiert Browserdaten
Inhaltsverzeichnis:
Datenklau-Malware erfreut sich weiterhin großer Beliebtheit bei finanziell motivierten Hackern. Das gestiegene Interesse fördert die Entwicklung neuer, ausgeklügelter Varianten, die auf dem Untergrundmarkt angeboten werden. Offensichtlich ziehen die günstigsten und gleichzeitig funktionalen Angebote zuerst die Aufmerksamkeit auf sich. An dieser Stelle rückt der Oski-Stealer als hochgefährliche und relativ preiswerte Malware ins Rampenlicht.
Oski Stealer Funktionalität
Der Oski-Informationsstealer tauchte Ende 2019 auf. Seitdem wird er aktiv als Malware-as-a-Service (MaaS) auf russischen Dark-Web-Foren beworben. Der niedrige Preis von 70 bis 100 Dollar und die erweiterten bösartigen Fähigkeiten verschafften der Malware einen starken Ruf in der Hacker-Community.
Oski kann eine große Menge an sensiblen Informationen von ahnungslosen Opfern stehlen. Insbesondere kann er Daten von über 60 verschiedenen Apps auslesen. Die Liste umfasst Browser, Krypto-Wallets, E-Mail-Clients und mehr. Darüber hinaus kann die Malware Benutzerdaten vom infizierten Computer abfangen, Screenshots erstellen und als Loader für nachgelagerte Payloads fungieren.
Laut den Forschern kann die Malware Anmeldedaten, Cookies, Finanzinformationen und Autofill-Daten von mehr als 30 Chromium- und Mozilla-basierten Browsern extrahieren. Die Malware verwendet DLL-Injection, um Browser-Prozesse einzuhaken und Man-in-the-Browser-Attacken durchzuführen. Außerdem kann sie Informationen über verbundene Outlook-Konten aus der Registrierung stehlen, einschließlich Passwörter und sensibler Daten zu IMAP- und SMTP-Servern. Eine weitere Zielapplikation sind Krypto-Wallets, mit 28 Arten auf der Liste, darunter Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin und ZCash. Schließlich kann Oski als Grabber fungieren, um Dateien von dem kompromittierten Gerät zu sammeln. Dieses Modul ist jedoch optional, sodass Betreiber es nach Bedarf deaktivieren oder umkonfigurieren können.
Oski Info Stealer Analyse
Bedrohungsakteure nutzen mehrere Methoden, um den Oski-Stealer bereitzustellen. Sicherheitsexperten haben beobachtet, dass er über Drive-by-Downloads, Phishing-Kampagnen und Exploit-Kits in Form eines Archivs oder schädlichen ausführbaren Programms verbreitet wird. Bemerkenswerterweise erfordert die Malware keine privilegierten Rechte für die Installation, was die Bedrohung populärer und weit verbreitet macht.
Nach der Infektion führt die Malware mehrere Umweltprüfungen durch, bevor sie ihre Hauptfunktionen startet. Insbesondere überprüft Oski die Sprache des Benutzers und beendet seine Aktivitäten, wenn sie sich auf die Gemeinschaft Unabhängiger Staaten (GUS) beziehen. Dieses Verhalten deutet darauf hin, dass wahrscheinlich Russland-affinierte Hacker hinter der Oski-Entwicklung stehen. Die zweite Umweltprüfung ist ein Anti-Emulations-Test für Windows Defender Antivirus. Sobald alle Prüfungen erfolgreich bestanden wurden, beginnt die Malware mit ihren Datendiebstahlaktivitäten.
Obwohl Oskis bösartige Potenziale beeindruckend sind, weisen Forscher auf das Fehlen von Ausweichfunktionen hin. Bevor Oski Anmeldeinformationen von Benutzer-Apps ausspäht, arrangiert es seine Arbeitsumgebung und lädt mehrere DLLs vom Command-and-Control-Server herunter. Dies ist eine sehr bemerkenswerte Aktivität, die häufig von AV-Engines erkannt wird. Dennoch ist die Malware beim Verbergen ihrer Spuren ziemlich erfolgreich. Speziell löscht Oski alle Dateien, Logs, DLLs von der Festplatte, tötet gleichzeitig die verbundenen bösartigen Prozesse und entfernt Dateien.
Oski-Erkennung
Um die proaktive Erkennung des Oski-Stealers in Ihrem Netzwerk zu verbessern, überprüfen Sie die neueste Sigma-Regel, die von unserem Threat Bounty-Entwickler Osman Demir:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
Die Regel ist für die folgenden Plattformen übersetzt:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Credential Access,
Techniken: Credentials from Web Browsers (T1503), Credentials in Files (T1081)
Sofern Sie keinen bezahlten Zugang zum Threat Detection Marketplace haben, aktivieren Sie Ihre kostenlose Testversion unter einer Community-Mitgliedschaft, um die Sigma-Regel für die Oski-Erkennung freizuschalten.
Melden Sie sich an im Threat Detection Marketplace an, um Ihre Abwehrfähigkeiten zu verbessern! Die branchenweit erste Threat Detection Content-as-a-Service (CaaS) Plattform von SOC Prime aggregiert SIEM & EDR Detection und Response Inhalte mit über 90.000 Regeln, Parsern und Suchanfragen, Sigma- und YARA-L-Regeln, die einfach in verschiedene Formate konvertierbar sind. Die Inhaltsbasis wird täglich mit Hilfe von 300+ Sicherheitsexperten bereichert. Möchten Sie Teil unserer Threat Hunting Community werden? Treten Sie dem Threat Bounty Program!
