オスキ情報スティーラーが暗号ウォレットを空にし、ブラウザーデータを抽出
目次:
データ窃盗マルウェアは、経済的動機を持つハッカーの間で人気を集め続けています。関心の高まりは、地下市場で宣伝される新しい高度な亜種の開発を促進しています。明らかに、最も安価で同時に機能的なオファーが真っ先に注目を集めます。ここで、Oskiスティーラーが非常に危険で比較的低価格なマルウェアとしてスポットライトを浴びています。
Oskiスティーラーの機能
Oski情報スティーラーは2019年末に登場しました。それ以来、ロシアのダークウェブフォーラムでマルウェア・アズ・ア・サービス(MaaS)として積極的に広告されています。70ドルから100ドルという低価格と拡張された悪意のある機能性が、ハッカーコミュニティの中で強い評判を築いています。
Oski は、 無防備な被害者から膨大な量の機密情報を盗むことができます。特に、60を超える異なるアプリからデータをダンプできます。このリストにはブラウザ、暗号通貨ウォレット、電子メールクライアントなどが含まれます。さらに、このマルウェアは感染したコンピュータからユーザーファイルを取得し、スクリーンショットを撮り、第2段階のペイロード用のローダーとして機能する可能性があります。
研究者によると、このマルウェアは30以上のChromium-やMozillaベースのブラウザからログイン詳細、クッキー、財務情報、自動入力情報などを抽出する可能性があります。マルウェアはDLLインジェクションを適用してブラウザプロセスをフックし、man-in-the-browser攻撃を実行します。また、レジストリから接続されたOutlookアカウントに関する情報を盗むこともでき、IMAPやSMTPサーバーに関連するパスワードや機密情報を含みます。別のターゲットアプリは暗号通貨ウォレットであり、Bitcoin Core、Ethereum、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCashを含む28種類がリストに含まれています。最後に、Oskiは誤解されたデバイスからファイルを収集するためのグラバーとして機能することもあります。ただし、このモジュールはオプションであり、オペレーターは目的に応じてそれを無効にするか再構成することができます。
Oskiインフォスティーラー解析
脅威アクターは複数の手法を用いてOskiスティーラーを配信します。セキュリティ研究者は、それがドライブバイダウンロード、フィッシングキャンペーン、エクスプロイトキットを通じてアーカイブまたは悪質な実行可能ファイルの形で押し出されるのを目撃しました。特筆すべきは、このマルウェアがインストールに特権的な権利を必要としないため、脅威がより人気があり広範囲にわたっていることです。
感染後、このマルウェアはいくつかの環境チェックを実行してから主な機能を開始します。特に、Oskiはユーザーの言語を確認し、それが独立国家共同体(CIS)諸国を指す場合、脅威はその活動を終了します。このような行動は、Oskiの開発にロシアと関連したハッカーが関与していることを示唆しています。2つ目の環境チェックは、Windows Defender Antivirusのアンチエミュレーションテストです。すべてのチェックが成功した場合、マルウェアはそのデータ盗難活動を開始します。
Oskiの悪意のあるポテンシャルは印象的ですが、回避機能が不足していると研究者は指摘しています。ユーザーアプリから資格情報をダンプする前に、Oskiは動作環境を整え、コマンドアンドコントロールサーバーから複数のDLLをダウンロードします。これは非常に注目すべき活動であり、AVエンジンによって頻繁に検出されます。ただし、このマルウェアはその痕跡を隠すのにかなり成功しています。具体的には、Oksiはディスクからすべてのファイル、ログ、DLLを削除し、同時に関連する悪意のあるプロセスを終了し、ファイルを削除します。
Oski検出
ネットワーク内でのOskiスティーラーのプロアクティブな検出を強化するために、私たちのThreat Bounty開発者がリリースした最新のSigmaルールを確認してください。 オスマン・デミル:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
このルールは以下のプラットフォーム向けに翻訳されています:
SIEM:Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR:Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
戦術:資格情報アクセス、
技術:Webブラウザからの資格情報(T1503)、ファイル内の資格情報(T1081)
Threat Detection Marketplaceへの有料アクセスがない場合は、コミュニティサブスクリプションで無料トライアルを有効にして、Oski検出のためにSigmaルールをロック解除してください。
サインアップ Threat Detection Marketplaceに登録して防御能力を強化しましょう! SOC Primeの業界初のThreat Detection Content-as-a-Service(CaaS)プラットフォームは、90,000を超えるルール、パーサー、検索クエリ、SigmaおよびYARA-Lルールを様々なフォーマットに簡単に変換できるSIEM&EDR検出と対策コンテンツを集約しています。コンテンツベースは、300人以上のセキュリティ実践者の助けを借りて、毎日豊かになっています。脅威ハンティングコミュニティの一員になりたいですか? Threat Bounty Programに参加してください!
