Oski, 1 nouveau malware fait son apparition sur la toile

Un nouveau malware nommé Oski a récemment fait son apparition sur la toile. Il permet de dérober des donnée et semble cibler l’Amérique du Nord et la Chine.

Oski est apparu pour la première fois dans une annonce publicitaire sur le Dark Web en Décembre, selon le chercheur Aditya K. Sood.

“L’offre pourrait faire partie d’un service de location de malware ou les opérateurs pourraient même vendre complètement le malware à des acheteurs,” a déclaré Aditya K. Sood.

oski

Oski a commencé à cibler des victimes en Amérique du Nord, mais a ajouté la Chine au cours des derniers jours. A travers ses observations Sood a remarqué que Oski avait apparemment déjà dérobé 43 336 mots de passe, principalement grâce à des campagnes de Google. 10 heures après, le nombre de mots de passe dérobé était déjà passé à 49 942.

“Cela a confirmé que Oski extrait des données sensibles très rapidement,” selon le papier de recherche sur la menace. Ce rythme n’est pas du tout sur le point de ralentir. “Oski continue d’infecter des systèmes et nous voyons maintenant qu’il s’attaque aussi à la Chine.”

Sous le capot du malware Oski

Pour analyser Oski, Sood et son équipe ont compromis le serveur command-and-control (C2) du malware en utilisant des techniques de force brute. Le serveur semble être hébergé en Russie.

“Nous essayons de trouver les serveurs command-and-control et d’évaluer leur sécurité pour voir si des informations peuvent être obtenu,” a-t-il expliqué. “Lors de ce processus, les faiblesses des serveurs C2, vulnérabilités, mots de passe faibles, permettent d’obtenir un accès.”

Le serveur C2 a révélé que les tactiques de vol d’Oski incluent l’utilisation d’attaques man-in-the-browser (MitB) en s’accrochant aux processus du navigateur en utilisant une injection DLL. Il extrait aussi des données sensibles sur les registres, des mots de passe depuis la base de données SQLite du navigateur et des cookies de sessions, y compris les cookies de porte-feuilles chiffrés de Bitcoin Core, Ethereum, Monero, Litecoin etc…

Il cible aussi les données sensible de navigateur dans Chromium, Google Chrome, Kometa, Amigo, Torch, Orbitum, Opera, Comodo Dragon, Nichrome, Yandex Browser, Maxthon5, Sputnik, Epic, Privacy Browser, Vivaldi, CocCoc, Mozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon etc…

Pour l’exfiltration de données, “Le nom de domaine du serveur C2 sous la forme de chaîne de caractères est codé dans le binaire après que la configuration ait été spécifié,” a déclaré Sood. “Oski utilise le protocole HTTP pour transmettre les données du système compromis. Les données sont transmises dans le corps d’un message HTTP POST et sont envoyées dans un format compressé (un fichier zip ou en utilisant un chiffrement spécial pour le corps HTTP POST).”

Un malware très éfficace

Oski fonctionne sur Windows et supporte les versions x86 et x64 de Windows 7/8/8.1/10. Selon l’analyse de Sood, le malware est très efficace. Par exemple, il est distribué par des mécanismes d’infection standard, tels que les téléchargements drive-by, les attaques d’hameçonnage et les kits d’exploit. Il peut aussi être distribué en tant que fichier zip ou en tant que fichier exécutable.

Il est aussi capable de rester très discret: Il peut être installé sans avoir besoin de droits administratifs, il est caché dans un payload qui s’auto-détruit une fois que Oski est chargé dans le système. Cela lui permet de cacher les traces d’infection.

“Si un exploit avancé est utilisé pour délivrer le payload qui porte Oski, on peut en déduire que Oski peut rester caché dans le système,” selon le papier.

Sood a déclaré que Oski peut être décrit comme ayant un niveau de sophistication intermédiaire, penchant un peu sur le niveau avancé. Il pense que le malware est encore au début de son développement.

Les utilisateurs peuvent se protéger en ayant de bonnes habitudes sur Internet, en appliquant les mises à jour et les patchs disponibles, en évitant de cliquer sur les liens et les fichiers joints qu’ils reçoivent par e-mail et en restant vigilant face aux e-mails d’hameçonnage.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de