Oski Stealer窃密木马,盗取美国地区用户的浏览器和加密钱包数据

点击蓝字关注我们

最近国外安全研究人员发现一款新型的窃密木马Oski Stealer正在地下黑客论坛进行广告宣传,其中包含一些俄罗斯黑客论坛,该恶意软件旨在收集敏感信息,例如浏览器登录凭据、信用卡数据、钱包帐户数据等,并且已经窃取了50000多个密码,主要通过垃圾邮件网络钓鱼进行传播感染,针对Windows 7、8、8.1和10的x86和x64版本,并且可以在没有管理员权限的情况下安装,该恶意软件目前主要针对美国地区用户进行攻击,窃取了大量Google帐户密码

OskiStealer窃密木马会盗取基于Chromium和Firefox的浏览器(Chromium、Chrome、Opera、Comodo Dragon、Yandex、Vivaldi、Firefox、PaleMoon、Cyberfox、BlackHawk、K-Meleon等)登录凭据,以及来自Filezilla和加密货币钱包(Bitcoin Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)的加密货币数据,主要通过从注册表、浏览器SQLite数据库中提取相应的登录凭证数据,并使用DLL注入浏览器进程盗取钱包数据

国外安全研究人员研究之后,发现Oski Stealer窃密木马目前尚处于早期阶段,并已经成功针对美国(北美地区)的用户发起了网络攻击,窃取了大量登录浏览器凭据数据,未来会不会在全球范围内流行,需要持续观察跟踪

笔者捕获到一例OskiStealer最新的病毒样本,该样本使用UPX加壳处理,如下所示:

脱壳之后,对样本进行详细分析

1.在临时目录下生成makefile.input.makegen文件,如下所示:

2.写入数据到makefile.input.makegen文件,如下所示:

3.请求主机上的相关文件到远程服务器,下载对应的文件到主机,如下所示:

远程服务器地址:petordementyev.pw

相关的文件列如下:

softokn3.dll,sqlite3.dll,freebl3.dll,mozglue.dll,msvcp140.dll,nss3.dll,vcruntime140.dll

捕获到的流量数据,如下所示:

下载的文件,如下所示:

4.获取主机相关信息,如下所示:

5. 主机截屏操作,如下所示:

6.通过调用下载的相关文件,获到主机上相关信息,上传到远程服务器,远程服务器地址URL:petordementyev.pw/main.php,如下所示:

捕获到的流量数据,如下所示:

7.最后将获取到的主机数据信息打包,上传到远程服务器,捕获到的相关流量数据,如下所示:

上传的打包的数据信息,如下所示:

8.从数据包流量中DUMP获取到的主机数据信息,解压之后,如下所示:

9.获取到的主机信息,如下所示:

10.截屏信息,如下所示:

11.获取到的浏览器Cookies信息,如下所示:

12.获取到黑客远程服务器的login页面地址,相关的URL地址:

http://petordementyev.pw/login.php,如下所示:

13.黑客远程服务器C&C地址:194.87.98.216,微步在线查询结果,发现地址为俄罗斯莫斯科,如下所示:

从最近一两年跟踪的几款流行勒索病毒来看,背后的开发运营团队很大可能是俄罗斯黑客组织所为,同时这几款流行勒索病毒也一直在一个俄罗斯黑客论坛公布相关信息,包含此前的GandCrab勒索病毒和后面新出现的Sodinokibi勒索病毒,这款新型的窃密软件的服务器所在地也是俄罗斯,俄罗斯黑客组织现在在全球范围内活动非常频繁,这些盗取的数据,可能会被黑客组织放到地下黑客论坛或暗网进行出售,获取利益,可被其他黑客组织利用去进行其它网络攻击行为

参考链接:

https://www.securityweek.com/oski-stealer-targets-browser-data-crypto-wallets-us

经常听到一些人说 现在病毒很少了 ,或者说现在已经 没有病毒了 ,其实只是自己对这方面关注的不多, 不是专业人士 ,并不太了解病毒,可能有时候自己已经中了病毒,电脑资料被盗了也不知道,再加上由于现在TO C的杀毒软件不赚钱了,大多数杀毒软件不怎么维护了,有些甚至开始做起了流氓软件的“生意”,一些新的样本可能也无法及时检测,没有太多人重视这块,事实上全球各地每天都在发生各种恶意样本攻击事件,不断有新的恶意样本家族出现,已知的恶意样本家族也在不断变种,同时新的黑客组织不断涌现,旧的成熟的黑客组织也在研究新的网络攻击武器,开发新型的恶意软件,对于做黑产的来说,各种不同种类的恶意软件就是他们的“产品”,所以他们一定会不断研发新型的“产品”,能过这些“产品”获取利益,现在国内关注和了解的人可能并不多,深入逆向分析、追踪研究的人就更少了,最近几年其实各种恶意样本攻击事件层出不穷,包含各种勒索病毒、挖矿病毒、远控、后门、窃密木马、APT攻击、银行木马、基于Linux系统的各种物联网平台的僵尸网络变种等,笔者专业从事恶意软件的分析与研究十几年,精通基于各种不同平台的各种不同类型的恶意软件分析技术,一直在跟踪分析全球各种最新最流行的恶意软件,现在并不是“ 天下无贼 ”,而是各种各样的恶意软件层出不穷,希望大家跟我一起关注全球的恶意样本动态, 提高安全意识 ,因为每天出现的各种恶意样本实在是太多了,因此发生的安全攻击事件也太多太多了,需要更多专业的安全从业者加入进来,全球大多数安全事件都是通过恶意样本发起攻击的,安全的本质永远是人与人的对抗,黑客组织会永不停止地开发和更新各种新型的恶意软件并对目标发起网络攻击行为,做安全与做黑产最直接的对抗就是恶意样本, 攻与防永不停止 ,恶意样本更是无处不在,明年笔者将组建一支专业的恶意样本研究攻防小组,专注于全球最新最流行的各种恶意样本的分析与研究,致力于打造全球最专业的恶意样本研究小组,需要更多专业的安全研究人员,有兴趣的可以私聊笔者,加入进来,跟笔者一起努力,同时 笔者所在公司需要各种专业的安全人才 ,有兴趣的都可以私聊发简历给我,微信:pandazhengzheng,希望能一起共事, 专业的事就得专业的人来干

最近大家注意安全,出门戴好口罩,笔者过年期间哪里也不去,就在家里看书,学习,写作,分析研究各种最新的样本,给大家分享一些安全相关的文章,一起学习,共同进步!

往期精彩回顾

【招聘】武林集结令,江湖风云再起,天下谁与争锋

想解锁更多安全分析与研究的各种姿势,想在安全的路上多个引路人,可以加入知识星球进行学习讨论,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体......

觉得内容还不错的话,给我点个“在看”呗

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章