歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Oski Stealer竊密木馬,盜取美國地區用戶的瀏覽器和加密錢包數據

來源:本站整理 作者:佚名 時間:2020-01-28 TAG: 我要投稿

最近國外安全研究人員發現一款新型的竊密木馬Oski Stealer正在地下黑客論壇進行廣告宣傳,其中包含一些俄羅斯黑客論壇,該惡意軟件旨在收集敏感信息,例如瀏覽器登錄憑據、信用卡數據、錢包帳戶數據等,并且已經竊取了50000多個密碼,主要通過垃圾郵件網絡釣魚進行傳播感染,針對Windows 7、8、8.1和10的x86和x64版本,并且可以在沒有管理員權限的情況下安裝,該惡意軟件目前主要針對美國地區用戶進行攻擊,竊取了大量Google帳戶密碼。
OskiStealer竊密木馬會盜取基于Chromium和Firefox的瀏覽器(Chromium、Chrome、Opera、Comodo Dragon、Yandex、Vivaldi、Firefox、PaleMoon、Cyberfox、BlackHawk、K-Meleon等)登錄憑據,以及來自Filezilla和加密貨幣錢包(Bitcoin Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)的加密貨幣數據,主要通過從注冊表、瀏覽器SQLite數據庫中提取相應的登錄憑證數據,并使用DLL注入瀏覽器進程盜取錢包數據。
國外安全研究人員研究之后,發現Oski Stealer竊密木馬目前尚處于早期階段,并已經成功針對美國(北美地區)的用戶發起了網絡攻擊,竊取了大量登錄瀏覽器憑據數據,未來會不會在全球范圍內流行,需要持續觀察跟蹤。
筆者捕獲到一例OskiStealer最新的病毒樣本,該樣本使用UPX加殼處理,如下所示:

脫殼之后,對樣本進行詳細分析
1.在臨時目錄下生成makefile.input.makegen文件,如下所示:

2.寫入數據到makefile.input.makegen文件,如下所示:

3.請求主機上的相關文件到遠程服務器,下載對應的文件到主機,如下所示:

遠程服務器地址:petordementyev.pw
相關的文件列如下:
softokn3.dll,sqlite3.dll,freebl3.dll,mozglue.dll,msvcp140.dll,nss3.dll,vcruntime140.dll
捕獲到的流量數據,如下所示:

下載的文件,如下所示:

4.獲取主機相關信息,如下所示:

5.主機截屏操作,如下所示:

6.通過調用下載的相關文件,獲到主機上相關信息,上傳到遠程服務器,遠程服務器地址URL:petordementyev.pw/main.php,如下所示:

捕獲到的流量數據,如下所示:

7.最后將獲取到的主機數據信息打包,上傳到遠程服務器,捕獲到的相關流量數據,如下所示:

上傳的打包的數據信息,如下所示:

8.從數據包流量中DUMP獲取到的主機數據信息,解壓之后,如下所示:

9.獲取到的主機信息,如下所示:

10.截屏信息,如下所示:

11.獲取到的瀏覽器Cookies信息,如下所示:

12.獲取到黑客遠程服務器的login頁面地址,相關的URL地址:
http://petordementyev.pw/login.php,如下所示:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 北京快三有什么规律吗 河南体彩泳坛夺金200期 山东11选5历史开奖结果 河南快三最大遗漏查询 江西快3基本走势图 88m论坛平码高手平特一肖 1分赛车预测 辽宁11选5遗漏top10 杠杆配资 河北排列7几号开奖