Oski Info Stealer Vide les Portefeuilles Crypto, Extrait les Données du Navigateur
Table des matières :
Les logiciels malveillants de vol de données continuent de gagner en popularité parmi les hackers motivés financièrement. Un intérêt accru stimule le développement de nouvelles souches sophistiquées promues sur le marché clandestin. Évidemment, les offres les moins chères et simultanément fonctionnelles attirent d’abord l’attention. C’est là que le stealer Oski entre en lumière en tant que logiciel malveillant très dangereux et relativement peu cher.
Fonctionnalités du Stealer Oski
Le voleur d’informations Oski est apparu à la fin de 2019. Depuis lors, il a été activement annoncé sur les forums du dark web russe en tant que souche de malware en tant que service (MaaS). Le prix bas de 70 $ à 100 $ et les capacités malveillantes étendues ont donné au logiciel malveillant une forte réputation parmi la communauté des hackers.
Oski peut voler une grande quantité d’informations sensibles de victimes sans méfiance. En particulier, il peut extraire des données de plus de 60 applications différentes. La liste inclut les navigateurs, les portefeuilles de crypto-monnaie, les clients de messagerie, et plus encore. De plus, le logiciel malveillant pourrait s’emparer des fichiers utilisateur de l’ordinateur infecté, prendre des captures d’écran, et agir comme chargeur pour les charges utiles de deuxième étape.
Selon les chercheurs, le logiciel malveillant pourrait extraire des détails de connexion, des cookies, des informations financières et de remplissage automatique de plus de 30 navigateurs basés sur Chromium et Mozilla. Le logiciel malveillant applique l’injection DLL pour accrocher les processus du navigateur et effectuer des attaques man-in-the-browser. De plus, il pourrait voler des informations sur des comptes Outlook connectés à partir du registre, y compris les mots de passe et les détails sensibles associés aux serveurs IMAP et SMTP. Un autre type d’applications ciblées est les portefeuilles de crypto-monnaie, avec 28 types sur la liste, y compris Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin, et ZCash. Enfin, Oski peut agir comme un collecteur pour recueillir des fichiers de l’appareil compromis. Cependant, ce module est optionnel, donc les opérateurs pourraient le désactiver ou le reconfigurer selon leurs objectifs.
Analyse du Voleur d’Informations Oski
Les acteurs de la menace utilisent plusieurs méthodes pour distribuer le stealer Oski. Les chercheurs en sécurité l’ont repéré être poussé via des téléchargements en drive-by, des campagnes de phishing, et des kits d’exploitation sous la forme d’une archive ou d’un exécutable malveillant. Remarquablement, le malware n’exige pas de droits privilégiés pour les installations, rendant la menace plus populaire et répandue.
Lors de l’infection, le logiciel malveillant effectue plusieurs vérifications environnementales avant de lancer ses principales fonctions. En particulier, Oski vérifie la langue de l’utilisateur, et si elle se réfère aux pays de la Communauté des États Indépendants (CEI), la menace termine son activité. Un tel comportement indique que des hackers affiliés à la Russie sont probablement à l’origine du développement d’Oski. La deuxième vérification de l’environnement est un test anti-émulation pour l’Antivirus Windows Defender. Une fois toutes les vérifications réussies, le logiciel malveillant commence ses activités de vol de données.
Bien que le potentiel malveillant d’Oski soit impressionnant, les chercheurs notent l’absence de fonctionnalités d’évasion. Avant d’extraire des identifiants des applications utilisateur, Oski organise son environnement de travail et télécharge plusieurs DLL depuis le serveur de commande et de contrôle. C’est une activité très notable, qui est fréquemment détectée par les moteurs AV. Cependant, le logiciel malveillant est assez efficace pour masquer ses traces. En particulier, Oksi supprime tous les fichiers, journaux, DLLs du disque, tout en tuant simultanément les processus malveillants affiliés et supprimant les fichiers.
Détection d’Oski
Pour améliorer la détection proactive du stealer Oski au sein de votre réseau, consultez la dernière règle Sigma publiée par notre développeur Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
La règle est traduite pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Carbon Black, Microsoft Defender ATP
MITRE ATT&CK :
Tactiques : Accès aux Identifiants,
Techniques : Identifiants des Navigateurs Web (T1503), Identifiants dans les Fichiers (T1081)
À moins que vous n’ayez un accès payant au Threat Detection Marketplace, activez votre essai gratuit sous un abonnement communautaire pour débloquer la règle Sigma pour la détection d’Oski.
Inscrivez-vous au Threat Detection Marketplace pour propulser vos capacités de défense ! La plateforme Threat Detection Content-as-a-Service (CaaS) de SOC Prime, première du genre, agrège les contenus de détection et de réponse des SIEM & EDR avec plus de 90 000 règles, analysateurs, et requêtes de recherche, des règles Sigma et YARA-L facilement convertibles en divers formats. La base de contenu s’enrichit chaque jour grâce à l’aide de plus de 300 praticiens de la sécurité. Avez-vous le désir de devenir une partie de notre communauté de chasse aux menaces ? Rejoignez Threat Bounty Program!
