Oski Info Stealer Svuota i Portafogli Crypto, Estrae Dati dal Browser
Indice:
Il malware per il furto di dati continua a salire di popolarità tra gli hacker motivati finanziariamente. L’aumento dell’interesse stimola lo sviluppo di nuove varianti sofisticate promosse nel mercato sotterraneo. Ovviamente, le offerte più economiche e allo stesso tempo funzionali catturano per prime l’attenzione. È qui che Oski stealer si mette sotto i riflettori come malware altamente pericoloso e relativamente economico.
Funzionalità di Oski Stealer
Il ladro di informazioni Oski è emerso alla fine del 2019. Da allora è stato attivamente pubblicizzato sui forum del dark web russo come un malware-as-a-service (MaaS). Il basso prezzo di $70-$100 e le estese capacità dannose hanno conferito al malware una forte reputazione nella comunità degli hacker.
Oski può rubare un’enorme quantità di informazioni sensibili da vittime ignare. In particolare, può scaricare dati da oltre 60 diverse app. L’elenco include browser, portafogli criptovalute, client email e altro. Inoltre, il malware potrebbe afferrare file utente dal computer infetto, scattare screenshot e agire come caricatore per payload di secondo livello.
Secondo i ricercatori, il malware potrebbe estrarre dettagli di accesso, cookie, informazioni finanziarie e di completamento automatico da più di 30 browser basati su Chromium e Mozilla. Il malware applica l’iniezione di DLL per collegare i processi del browser ed eseguire attacchi man-in-the-browser. Inoltre, potrebbe rubare informazioni sugli account Outlook collegati dal registro, inclusi password e dettagli sensibili associati ai server IMAP e SMTP. Un altro tipo di app mirate sono i portafogli criptovalute, con 28 tipi nella lista, tra cui Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin e ZCash. Infine, Oski può agire come grabber per raccogliere file dal dispositivo compromesso. Tuttavia, questo modulo è opzionale, quindi gli operatori possono disabilitarlo o riconfigurarlo secondo i loro scopi.
Analisi di Oski Info Stealer
Gli attori della minaccia utilizzano diversi metodi per consegnare Oski stealer. I ricercatori di sicurezza l’hanno individuato essere diffuso tramite download drive-by, campagne di phishing e kit di exploit sotto forma di un archivio o eseguibile dannoso. Notevolmente, il malware non richiede diritti privilegiati per l’installazione, rendendo la minaccia più popolare e diffusa.
Dopo l’infezione, il malware esegue diversi controlli ambientali prima di lanciare le sue funzioni principali. In particolare, Oski controlla la lingua dell’utente e, se si riferisce ai paesi della Comunità degli Stati Indipendenti (CIS), la minaccia termina la sua attività. Questo comportamento indica che probabilmente hacker affiliati alla Russia sono dietro lo sviluppo di Oski. Il secondo controllo ambientale è un test di anti-emulazione per Windows Defender Antivirus. Una volta superati con successo tutti i controlli, il malware avvia le sue attività di furto di dati.
Sebbene il potenziale dannoso di Oski sia impressionante, i ricercatori notano la mancanza di funzionalità di evasione. Prima di scaricare le credenziali dalle app dell’utente, Oski organizza il suo ambiente di lavoro e scarica diversi DLL dal server di comando e controllo. È un’attività molto notevole, spesso rilevata dai motori AV. Tuttavia, il malware è piuttosto abile a nascondere le sue tracce. Specificamente, Oksi elimina tutti i file, i log, i DLL dal disco, contemporaneamente uccidendo i processi dannosi affiliati e rimuovendo i file.
Rilevamento di Oski
Per migliorare il rilevamento proattivo di Oski stealer all’interno della tua rete, controlla l’ultima regola Sigma rilasciata dal nostro sviluppatore Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
La regola è tradotta per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tattiche: Accesso alle Credenziali,
Tecniche: Credenziali dai Browser Web (T1503), Credenziali nei File (T1081)
A meno che non abbiate accesso a pagamento al Threat Detection Marketplace, attivate la vostra prova gratuita sotto un abbonamento comunitario per sbloccare la regola Sigma per il rilevamento di Oski.
Iscriviti al Threat Detection Marketplace per potenziare le vostre capacità di difesa! La piattaforma Threat Detection Content-as-a-Service (CaaS) di SOC Prime, la prima del settore, aggrega contenuti SIEM & EDR Detection e Response con oltre 90.000 regole, parser e query di ricerca, regole Sigma e YARA-L facilmente convertibili in vari formati. La base di contenuti si arricchisce ogni giorno con l’aiuto di oltre 300 addetti alla sicurezza. Vuoi diventare parte della nostra comunità di caccia alle minacce? Unisciti al Threat Bounty Program!
