Oski 정보 탈취기, 암호화폐 지갑 비우고 브라우저 데이터 추출

데이터 절도 악성코드는 금융 동기를 가진 해커들 사이에서 계속해서 인기를 얻고 있습니다. 증가하는 관심은 지하 시장에서 새롭고 정교한 변종의 개발을 촉진합니다. 분명히, 가장 저렴하고 동시에 기능적인 제품들이 먼저 주목을 받습니다. 여기에서 오스키 스틸러는 매우 위험하고 비교적 저렴한 악성코드로 주목받습니다.

오스키 스틸러 기능

오스키 정보 스틸러는 2019년 말에 등장했습니다. 그 이후로, 러시아 다크 웹 포럼에서 악성코드-서비스(MaaS) 변종으로 활발히 광고되었습니다. 70~100달러의 저렴한 가격과 확장된 악의적인 기능은 해커들 사이에서 강력한 평판을 얻었습니다.

오스키 는 넓은 양의 민감한 정보를 의심 없는 피해자로부터 탈취할 수 있습니다. 특히, 60개 이상의 다른 앱에서 데이터를 덤프할 수 있습니다. 목록에는 브라우저, 암호화 지갑, 이메일 클라이언트 등이 포함되어 있습니다. 추가로, 이 악성코드는 감염된 컴퓨터에서 사용자 파일을 가져가거나 화면을 캡처하고 2차 페이로드를 위한 로더로 작동할 수 있습니다. a vast amount of sensitive information from unsuspecting victims. In particular, it can dump data from over 60 different apps. The list includes browsers, crypto wallets, email clients, and more. Additionally, the malware might grab user files from the infected computer, take screenshots, and act as a loader for second-stage payloads.

연구원들에 따르면, 이 악성코드는 로그인 세부 정보, 쿠키, 금융 및 자동 채우기 정보를 30개 이상의 Chromium 및 Mozilla 기반 브라우저에서 추출할 수 있습니다. 이 악성코드는 DLL 주입을 적용하여 브라우저 프로세스를 후킹하고 맨-인-브라우저 공격을 수행합니다. 또한, 레지스트리에서 연결된 Outlook 계정 정보를 훔칠 수 있으며, 여기에는 IMAP 및 SMTP 서버와 관련된 비밀번호 및 민감한 세부 정보가 포함됩니다. 또 다른 대상 앱은 28개의 암호화 지갑으로, Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin 및 ZCash가 목록에 포함됩니다. 마지막으로, 오스키는 감염된 장치에서 파일을 수집하기 위한 그랩버로 작동할 수 있습니다. 그러나 이 모듈은 선택 사항으로, 운영자가 목적에 따라 비활성화하거나 재구성할 수 있습니다.

오스키 정보 스틸러 분석

위협 행위자들은 오스키 스틸러를 배포하기 위해 여러 방법을 사용합니다. 보안 연구원들은 드라이브-바이 다운로드, 피싱 캠페인, 공격 키트를 통해 아카이브 또는 악성 실행 파일의 형태로 추진되는 것을 발견했습니다. 특히, 이 악성코드는 설치에 특별한 권한이 필요하지 않아서, 더욱 널리 퍼지고 인기가 높습니다.

감염되면 이 악성코드는 주요 기능을 실행하기 전에 여러 환경 검사를 수행합니다. 특히, 오스키는 사용자 언어를 확인하고 독립 국가 연합(CIS) 국가에 해당되면 활동을 중단합니다. 이러한 행동은 오스키 개발에 아마도 러시아 관련 해커들이 있다는 것을 나타냅니다. 두 번째 환경 검사는 Windows Defender Antivirus의 반-에뮬레이션 테스트입니다. 모든 검사가 성공적으로 통과되면, 이 악성코드는 데이터 절도 활동을 시작합니다.

오스키의 악의적인 잠재력은 인상적이지만, 연구원들은 회피 기능의 부족을 지적합니다. 사용자 앱에서 자격 증명을 덤프하기 전에 오스키는 작업 환경을 정리하고 명령 및 제어 서버에서 여러 DLL을 다운로드합니다. 이는 매우 눈에 띄는 활동으로, AV 엔진에서 자주 탐지됩니다. 하지만 이 악성코드는 그 흔적을 숨기는 데 꽤 성공적입니다. 특히, 오스키는 모든 파일, 로그, DLL들을 디스크에서 삭제하고 관련 악성 프로세스를 동시에 종료하며 파일을 제거합니다.

오스키 탐지

네트워크 내에서 오스키 스틸러의 기법 탐지를 개선하기 위해 최근에 위협 바운티 개발자가 배포한 최신 시그마 규칙을 확인하십시오. 오스만 데미르: 

https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/

이 규칙은 다음 플랫폼으로 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

전술: 자격증명 접근,

기술: 웹 브라우저에서 자격 증명(T1503), 파일 내 자격 증명(T1081)

위협 탐지 마켓플레이스에 대한 유료 접근 권한이 없다면, 오스키 탐지를 위한 시그마 규칙을 잠금 해제하려면 커뮤니티 구독을 통해 무료 체험을 활성화하십시오.

가입하십시오 위협 탐지 마켓플레이스에 가입하여 방어 능력을 강화하십시오! SOC Prime 최초의 Threat Detection Content-as-a-Service(CaaS) 플랫폼은 SIEM 및 EDR 탐지 및 대응 콘텐츠를 90,000개 이상의 규칙, 파서 및 검색 쿼리, 시그마 및 YARA-L 규칙과 함께 다양한 형식으로 쉽게 변환할 수 있게 제공합니다. 콘텐츠 기반은 300명 이상의 보안 전문가의 도움으로 매일 풍부해집니다. 위협 사냥 커뮤니티의 일부가 되고 싶으신가요? 참여하십시오 위협 바운티 프로그램!