Oski Info Stealer Vacía Carteras Cripto, Extrae Datos del Navegador
Tabla de contenidos:
El malware de robo de datos sigue cobrando popularidad entre los hackers con motivaciones financieras. El creciente interés impulsa el desarrollo de nuevas variantes sofisticadas promovidas en el mercado clandestino. Obviamente, las ofertas más baratas y simultáneamente funcionales captan la atención primero. Aquí es donde el ladrón Oski entra en el centro de atención como un malware altamente peligroso y relativamente económico.
Funcionalidad del Ladrón Oski
El ladrón de información Oski surgió a finales de 2019. Desde entonces, ha sido anunciado activamente en foros de la darknet rusa como una variante de malware como servicio (MaaS). El bajo precio de $70-$100 y las amplias capacidades maliciosas le otorgaron al malware una fuerte reputación entre la comunidad de hackers.
Oski puede robar una gran cantidad de información sensible de víctimas desprevenidas. En particular, puede volcar datos de más de 60 aplicaciones diferentes. La lista incluye navegadores, billeteras de criptomonedas, clientes de correo electrónico, entre otros. Además, el malware podría capturar archivos de usuario del equipo infectado, tomar capturas de pantalla y actuar como cargador para cargas útiles de segunda etapa.
Según los investigadores, el malware podría extraer detalles de inicio de sesión, cookies, información financiera y de autocompletado de más de 30 navegadores basados en Chromium y Mozilla. El malware aplica la inyección de DLL para enganchar los procesos del navegador y ejecutar ataques man-in-the-browser. Además, podría robar información sobre cuentas de Outlook conectadas desde el registro, incluyendo contraseñas y detalles sensibles asociados a servidores IMAP y SMTP. Otro tipo de aplicaciones objetivo son las billeteras de criptomonedas, con 28 tipos en la lista, incluyendo Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin y ZCash. Finalmente, Oski puede actuar como un recolector para recopilar archivos del dispositivo comprometido. Sin embargo, este módulo es opcional, por lo que los operadores pueden desactivarlo o reconfigurarlo según sus propósitos.
Análisis del Ladrón de Información Oski
Los actores de amenazas utilizan múltiples métodos para entregar el ladrón Oski. Los investigadores de seguridad lo detectaron siendo distribuido a través de descargas drive-by, campañas de phishing y kits de explotación en forma de archivos comprimidos o ejecutables maliciosos. Notablemente, el malware no requiere derechos privilegiados para la instalación, lo que hace que la amenaza sea más popular y extendida.
Tras la infección, el malware realiza varios chequeos ambientales antes de lanzar sus funciones principales. Particularmente, Oski verifica el idioma del usuario y, si se refiere a los países de la Comunidad de Estados Independientes (CIS), la amenaza termina su actividad. Tal comportamiento indica que probablemente hackers afiliados a Rusia están detrás del desarrollo de Oski. El segundo chequeo ambiental es una prueba anti-emulación para Windows Defender Antivirus. Una vez que todos los chequeos se han superado con éxito, el malware comienza sus actividades de robo de datos.
Aunque el potencial malicioso de Oski es impresionante, los investigadores señalan la falta de funcionalidad de evasión. Antes de volcar credenciales de aplicaciones de usuario, Oski organiza su entorno de trabajo y descarga varias DLL del servidor de comando y control. Es una actividad muy notable, que frecuentemente es detectada por los motores AV. Sin embargo, el malware tiene bastante éxito ocultando sus rastros. Específicamente, Oski elimina todos los archivos, registros, DLL del disco, simultáneamente matando los procesos maliciosos afiliados y eliminando archivos.
Detección de Oski
Para mejorar la detección proactiva del ladrón Oski dentro de su red, consulte la última regla Sigma publicada por nuestro desarrollador de Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
La regla está traducida para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tácticas: Acceso a Credenciales,
Técnicas: Credenciales de Navegadores Web (T1503), Credenciales en Archivos (T1081)
A menos que no tenga acceso de pago al Threat Detection Marketplace, active su prueba gratuita bajo una suscripción comunitaria para desbloquear la regla Sigma para la detección de Oski.
Regístrese en el Threat Detection Marketplace para potenciar sus capacidades de defensa. La plataforma SOC Prime, la primera en la industria de Contenido de Detección de Amenazas como Servicio (CaaS), agrega contenido de Detección y Respuesta SIEM y EDR con más de 90,000 reglas, analizadores y consultas de búsqueda, reglas Sigma y YARA-L fácilmente convertibles a varios formatos. La base de contenido se enriquece cada día con la ayuda de más de 300 practicantes de seguridad. ¿Desea formar parte de nuestra comunidad de cazadores de amenazas? Únase al Programa de Recompensas de Amenazas!
