Home Sociedad El malware Oski roba datos en Estados Unidos y China

El malware Oski roba datos en Estados Unidos y China

Una emergente y efectiva herramienta de recolección de datos, llamada Oski, está proliferando en Estados Unidos y China, robando credenciales de cuentas en línea, números de tarjetas de crédito, cuentas encriptadas y más.

Oski, probablemente una variante finlandesa o nórdica de la palabra Oska, que significa “guerrero vikingo o dios” en samoano, comenzó a aparecer en los anuncios de la Red Oscura a partir de diciembre y posiblemente antes, según el investigador Aditya K. Sood.

“La oferta podría ser parte de una oferta de malware o incluso los operadores están vendiendo el paquete completo a compradores nefastos”, dijo a Threatpost en una entrevista por correo electrónico. “Ambos diseños son posibles y se pueden optar”.

Oski comenzó a buscar víctimas en Norteamérica, pero en los últimos días ha añadido a China a su conjunto de geografías objetivo. También es virulento: Sood dijo que cuando investigó por primera vez, Oski había acumulado 43.336 contraseñas robadas, principalmente de campañas de Google. Unas 10 horas más tarde, ese número había aumentado a 49.942, con un aumento en los registros de 88 a 249.

“Esto confirmó que el ladrón de Oski está extrayendo credenciales a un ritmo exponencial”, según el documento sobre la amenaza. Ese ritmo, dijo, no ha disminuido. “El ladrón de Oski sigue recogiendo infecciones y ahora hemos visto que los engranajes se han desplazado de Estados Unidos a la región de China”.

Para investigar a Oski, Sood y su equipo primero comprometieron el servidor de comando y control (C2) PHP basado en la web del malware, alojado en Rusia, utilizando técnicas de fuerza bruta.

“Invertimos esfuerzos en desenterrar los paneles C2 en vivo y realizar la evaluación de seguridad para ver si se puede obtener información”, explicó. “Durante este proceso, las debilidades inherentes a los paneles C2, incluyendo problemas de configuración, vulnerabilidades, contraseñas débiles, permiten obtener el acceso”.

El tablero de mandos del C2 reveló que las tácticas de robo de Oski implican la extracción de credenciales mediante ataques de hombre-en-el-navegador (MitB) enganchando los procesos del navegador mediante inyección DLL, explicó Sood. También extrae las credenciales del registro, las contraseñas de la base de datos SQLite del navegador y las cookies de sesión almacenadas de todas las franjas, incluyendo las cookies crypto-wallet de Bitcoin Core, Ethereum, Monero, Litecoin y otros.

Esto arroja una amplia red, también apuntando a las credenciales del navegador en Chromium, Google Chrome, Kometa, Amigo, Torch, Orbitum, Opera, Comodo Dragon, Nichrome, Yandex Browser, Maxthon5, Sputnik, Epic, Privacy Browser, Vivaldi, CocCoc, Mozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon y otros.

“La cobertura de Oski es significativa ya que roba cosas de todo tipo de navegadores, carteras de criptografía, diferentes clientes como FTP, etc.”, según Sood.

En términos de exfiltración de datos, “El nombre de dominio de la C2 en forma de cadena está codificado en el binario después de que se especifica la configuración”, dijo Sood. “El ladrón de Oski utiliza el protocolo HTTP para transmitir datos del sistema de usuario final comprometido. Los datos se transmiten como parte del cuerpo del HTTP POST y se envían en un formato comprimido (es decir, un archivo comprimido o utilizando un cifrado personalizado para el cuerpo del HTTP POST)”.

Oski está basado en Windows y es compatible con las versiones x86 y x64 de Windows 7/8/8.1/10. De acuerdo con las investigaciones de Sood, es altamente efectivo en sus esfuerzos. Por ejemplo, se distribuye mediante una serie de mecanismos de infección estándar, como descargas desde el disco duro, ataques de phishing y kits de explotación. Y puede distribuirse como un archivo comprimido directo ó un ejecutable.

También tiene la capacidad de volar por debajo del radar: Puede ser instalado sin ningún derecho administrativo explícito, y viene envuelto bajo un envoltorio de carga útil que se autodestruye una vez que el Oski es cargado en el sistema – ocultando así las huellas de la infección.

“Si se utiliza una explotación avanzada para entregar la carga útil que lleva el ladrón de Oski, es justo asumir que el ladrón de Oski puede permanecer sin ser detectado en el sistema”, según el documento.

Sood dijo que Oski puede ser clasificado como de nivel intermedio de sofisticación. El experto cree que el malware está todavía en las primeras etapas de su desarrollo.

“Es una amenaza continua y esperamos que se produzcan más avances e infecciones en Internet dirigidas a diferentes organizaciones, navegadores, etc.”, escribió en su documento. Añadió por correo electrónico: “El número de instancias activas de los paneles de mando y control no es alto e incluso en los foros underground, el anuncio del ladrón de Oski [sólo empezó] a aparecer recientemente, como hace un par de semanas”. La idea es conectar los diferentes indicadores para asumir que el ladrón de Oski acaba de empezar a expandir su control”.

Los usuarios pueden protegerse con buenos hábitos de navegación, aplicando actualizaciones y parches del sistema, evitando hacer clic en los enlaces y archivos adjuntos enviados por correo electrónico y manteniéndose alerta cuando se trata de posibles correos electrónicos de phishing.

Con información de: Threat Post.