Oski Info Stealer Vazia Carteiras de Criptomoeda, Extrai Dados do Navegador
Índice:
O malware de roubo de dados continua a ganhar popularidade entre hackers motivados financeiramente. O crescente interesse impulsiona o desenvolvimento de novas variantes sofisticadas promovidas no mercado subterrâneo. Obviamente, as ofertas mais baratas e simultaneamente funcionais atraem atenção primeiro. É aqui que o Oski stealer aparece como um malware altamente perigoso e relativamente barato.
Funcionalidade do Oski Stealer
O ladrão de informações Oski surgiu no final de 2019. Desde então, tem sido ativamente anunciado em fóruns da dark web russa como uma variante de malware como serviço (MaaS). O baixo preço de $70-$100 e capacidades maliciosas ampliadas deram ao malware uma forte reputação na comunidade hacker.
Oski pode roubar uma grande quantidade de informações sensíveis de vítimas desavisadas. Em particular, ele pode extrair dados de mais de 60 aplicativos diferentes. A lista inclui navegadores, carteiras de criptomoedas, clientes de e-mail e mais. Além disso, o malware pode capturar arquivos de usuário do computador infectado, tirar screenshots e atuar como um carregador para cargas úteis de segunda fase.
De acordo com os pesquisadores, o malware pode extrair detalhes de login, cookies, informações financeiras e de preenchimento automático de mais de 30 navegadores baseados em Chromium e Mozilla. O malware aplica injeção de DLL para conectar os processos do navegador e realizar ataques man-in-the-browser. Além disso, ele pode roubar informações sobre contas conectadas do Outlook do registro, incluindo senhas e detalhes sensíveis associados a servidores IMAP e SMTP. Outro tipo de aplicativos visados são carteiras de criptomoedas, com 28 tipos na lista, incluindo Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin e ZCash. Finalmente, o Oski pode atuar como um coletor para coletar arquivos do dispositivo comprometido. No entanto, este módulo é opcional, então os operadores podem desativá-lo ou reconfigurá-lo conforme seus objetivos.
Análise do Ladrão de Informações Oski
Atores de ameaça usam múltiplos métodos para entregar o Oski stealer. Pesquisadores de segurança detectaram que ele é propagado via downloads drive-by, campanhas de phishing e kits de exploração na forma de um arquivo ou executável malicioso. Notavelmente, o malware não requer direitos privilegiados para instalação, tornando a ameaça mais popular e disseminada.
Após a infecção, o malware realiza várias verificações ambientais antes de lançar suas funções principais. Em particular, o Oski verifica o idioma do usuário, e se ele se refere aos países da Comunidade dos Estados Independentes (CEI), a ameaça termina sua atividade. Tal comportamento indica que hackers afiliados à Rússia provavelmente estão por trás do desenvolvimento do Oski. A segunda verificação ambiental é um teste anti-emulação para o Windows Defender Antivirus. Assim que todas as verificações são concluídas com sucesso, o malware começa suas atividades de roubo de dados.
Embora o potencial malicioso do Oski seja impressionante, os pesquisadores observam a falta de funcionalidade de evasão. Antes de extrair credenciais de aplicativos de usuário, o Oski organiza seu ambiente de trabalho e baixa várias DLLs do servidor de comando e controle. É uma atividade muito notável, frequentemente detectada por mecanismos AV. No entanto, o malware é bastante bem-sucedido em esconder seus rastros. Especificamente, o Oksi exclui todos os arquivos, logs, DLLs do disco, simultaneamente matando os processos maliciosos associados e removendo arquivos.
Detecção do Oski
Para melhorar a detecção proativa de Oski stealer dentro de sua rede, verifique a última regra Sigma lançada pelo nosso desenvolvedor de Bounty de Ameaças Osman Demir:
https://tdm.socprime.com/tdm/info/hGooBtUsw1LB/7atVJXcBmo5uvpkjoc6z/
A regra é traduzida para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Acesso a Credenciais,
Técnicas: Credenciais de Navegadores Web (T1503), Credenciais em Arquivos (T1081)
A menos que você não tenha acesso pago ao Mercado de Detecção de Ameaças, ative seu teste gratuito sob uma assinatura comunitária para desbloquear a regra Sigma para detecção de Oski.
Inscreva-se no Mercado de Detecção de Ameaças para potencializar suas capacidades de defesa! A plataforma pioneira da SOC Prime de Conteúdo de Detecção de Ameaças como Serviço (CaaS) agrega conteúdo de Detecção e Resposta de SIEM & EDR com mais de 90.000 regras, parsers e consultas de pesquisa, regras Sigma e YARA-L facilmente convertíveis para vários formatos. A base de conteúdo é enriquecida todos os dias com a ajuda de mais de 300 praticantes de segurança. Tem vontade de se tornar parte da nossa comunidade de caça de ameaças? Junte-se ao Programa Bounty de Ameaças!
