NEWS.ALL
Ruizhao's News Reader

Oski Stealer窃密木马,盗取美国地区用户的浏览器和加密钱包数据

FreeBuf /2020-01-25

最近国外安全研究人员发现一款新型的窃密木马Oski Stealer正在地下黑客论坛进行广告宣传,其中包含一些俄罗斯黑客论坛,该恶意软件旨在收集敏感信息,例如浏览器登录凭据、信用卡数据、钱包帐户数据等,并且已经窃取了50000多个密码,主要通过垃圾邮件网络钓鱼进行传播感染,针对Windows 7、8、8.1和10的x86和x64版本,并且可以在没有管理员权限的情况下安装,该恶意软件目前主要针对美国地区用户进行攻击,窃取了大量Google帐户密码。

OskiStealer窃密木马会盗取基于Chromium和Firefox的浏览器(Chromium、Chrome、Opera、Comodo Dragon、Yandex、Vivaldi、Firefox、PaleMoon、Cyberfox、BlackHawk、K-Meleon等)登录凭据,以及来自Filezilla和加密货币钱包(Bitcoin Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)的加密货币数据,主要通过从注册表、浏览器SQLite数据库中提取相应的登录凭证数据,并使用DLL注入浏览器进程盗取钱包数据。

国外安全研究人员研究之后,发现Oski Stealer窃密木马目前尚处于早期阶段,并已经成功针对美国(北美地区)的用户发起了网络攻击,窃取了大量登录浏览器凭据数据,未来会不会在全球范围内流行,需要持续观察跟踪。

笔者捕获到一例OskiStealer最新的病毒样本,该样本使用UPX加壳处理,如下所示:

图片1.png

脱壳之后,对样本进行详细分析

1.在临时目录下生成makefile.input.makegen文件,如下所示:

图片2.png2.写入数据到makefile.input.makegen文件,如下所示:

图片3.png3.请求主机上的相关文件到远程服务器,下载对应的文件到主机,如下所示:

图片4.png

远程服务器地址:petordementyev.pw

相关的文件列如下:

softokn3.dll,sqlite3.dll,freebl3.dll,mozglue.dll,msvcp140.dll,nss3.dll,vcruntime140.dll

捕获到的流量数据,如下所示:

图片5.png下载的文件,如下所示:

图片6.png4.获取主机相关信息,如下所示:

图片7.png5.主机截屏操作,如下所示:

图片8.png6.通过调用下载的相关文件,获到主机上相关信息,上传到远程服务器,远程服务器地址URL:petordementyev.pw/main.php,如下所示:

图片9.png捕获到的流量数据,如下所示:

图片10.png7.最后将获取到的主机数据信息打包,上传到远程服务器,捕获到的相关流量数据,如下所示:

图片11.png上传的打包的数据信息,如下所示:

图片12.png8.从数据包流量中DUMP获取到的主机数据信息,解压之后,如下所示:

图片13.png9.获取到的主机信息,如下所示:

图片14.png10.截屏信息,如下所示:

图片15.png11.获取到的浏览器Cookies信息,如下所示:

图片16.png

12.获取到黑客远程服务器的login页面地址,相关的URL地址:

http://petordementyev.pw/login.php,如下所示:

图片17.png13.黑客远程服务器C&C地址:194.87.98.216,微步在线查询结果,发现地址为俄罗斯莫斯科,如下所示:

图片18.png

从最近一两年跟踪的几款流行勒索病毒来看,背后的开发运营团队很大可能是俄罗斯黑客组织所为,同时这几款流行勒索病毒也一直在一个俄罗斯黑客论坛公布相关信息,包含此前的GandCrab勒索病毒和后面新出现的Sodinokibi勒索病毒,这款新型的窃密软件的服务器所在地也是俄罗斯,俄罗斯黑客组织现在在全球范围内活动非常频繁,这些盗取的数据,可能会被黑客组织放到地下黑客论坛或暗网进行出售,获取利益,可被其他黑客组织利用去进行其它网络攻击行为

参考链接:

https://www.securityweek.com/oski-stealer-targets-browser-data-crypto-wallets-us

经常听到一些人说现在病毒很少了,或者说现在已经没有病毒了,其实只是自己对这方面关注的不多。

不是专业人士,并不太了解病毒,可能有时候自己已经中了病毒,电脑资料被盗了也不知道,再加上由于现在TO C的杀毒软件不赚钱了,大多数杀毒软件不怎么维护了,有些甚至开始做起了流氓软件的“生意”。

一些新的样本可能也无法及时检测,没有太多人重视这块,事实上全球各地每天都在发生各种恶意样本攻击事件,不断有新的恶意样本家族出现,已知的恶意样本家族也在不断变种,同时新的黑客组织不断涌现,旧的成熟的黑客组织也在研究新的网络攻击武器,开发新型的恶意软件,对于做黑产的来说,各种不同种类的恶意软件就是他们的“产品”,所以他们一定会不断研发新型的“产品”,能过这些“产品”获取利益。

现在国内关注和了解的人可能并不多,深入逆向分析、追踪研究的人就更少了,最近几年其实各种恶意样本攻击事件层出不穷,包含各种勒索病毒、挖矿病毒、远控、后门、窃密木马、APT攻击、银行木马、基于Linux系统的各种物联网平台的僵尸网络变种等,笔者专业从事恶意软件的分析与研究十几年,精通基于各种不同平台的各种不同类型的恶意软件分析技术,一直在跟踪分析全球各种最新最流行的恶意软件,现在并不是“天下无贼”,而是各种各样的恶意软件层出不穷,希望大家跟我一起关注全球的恶意样本动态,提高安全意识,因为每天出现的各种恶意样本实在是太多了,因此发生的安全攻击事件也太多太多了,需要更多专业的安全从业者加入进来,全球大多数安全事件都是通过恶意样本发起攻击的,安全的本质永远是人与人的对抗,黑客组织会永不停止地开发和更新各种新型的恶意软件并对目标发起网络攻击行为,做安全与做黑产最直接的对抗就是恶意样本,攻与防永不停止,恶意样本更是无处不在。

*本文作者:熊猫正正,转载请注明来自FreeBuf.COM