Nueva variante Oski Stealer, "Mars Stealer", tiene por blanco las credenciales, Crypto y 2FA
A principios de 2020, durante el surgimiento de la pandemia de COVID-19, los investigadores descubrieron un nuevo malware llamado Oski Stealer, capaz de robar datos del navegador como cookies, historial, información de pago e información de autocompletado, así como billeteras de criptomonedas, credenciales de inicio de sesión de aplicaciones e información de Authy 2FA. También puede tomar capturas de pantalla de su escritorio y realizar transferencias de archivos hacia y desde un servidor C2.
Oski realizó estas acciones (supuestamente) obteniendo acceso a routers con contraseñas de administrador débiles y modificando la configuración de DNS para secuestrar las sondas activas del Indicador de estado de conectividad de red de Windows (NCSI). Windows utiliza estas sondas para probar la conexión a Internet de una computadora conectándose periódicamente a http://www[.]msftconnecttest[.]com/connecttest.txt y luego devolviendo la cadena dentro del archivo de texto, que siempre será "Microsoft Connect Test ”. Si la sonda recibe la cadena correcta como respuesta, Windows asume que su conexión a Internet funciona. Sin embargo, un router comprometido puede conectarse a un dominio malicioso y descargar un archivo diferente: el malware Oski. Los autores del malware vendieron a Oski en Telegram y en foros durante unos meses hasta que de repente en julio de ese año desaparecieron.
Sin embargo, la semana pasada, Oski regresó como una nueva variante llamada "Mars Stealer". Mars Stealer realiza acciones similares a su predecesor y tiene capacidades adicionales de robo de información y antirretroceso. Estos incluyen técnicas de ofuscación, técnicas anti análisis, comprobaciones de seguridad, descargas de dependencias de DLL externas, un capturador y cargador personalizado para permitir la transferencia y ejecución de archivos, la autoeliminación y, por supuesto, capacidades de robo de información. Mars Stealer también se vende como MaaS en los foros y, por lo tanto, se puede modificar para realizar técnicas diferentes y adicionales.
Una variedad de aplicaciones se ven afectadas y es muy probable que use una o más de ellas. Por lo tanto, sigue siendo importante ser cauteloso al descargar archivos de Internet y hacer clic en cualquier hipervínculo. Recuerde siempre algunas reglas generales:
Usa el sentido común. No haga clic en enlaces que parezcan sospechosos, provengan de un usuario desconocido aparentemente de la nada o estén adjuntos con un sentimiento de "demasiado bueno para ser verdad", como dinero gratis o tarjetas de regalo.
Verifique antes de confirmar. Verifique un nombre de dominio, dirección de correo electrónico, nombre de archivo, ubicación de archivo, dirección IP, etc., antes de realizar cualquier acción significativa, especialmente si se trata de información confidencial.
Reportar comportamiento anómalo. Si trabaja para una organización y su máquina está actuando de forma extraña, no dude en informar ese comportamiento a un experto del área de Tecnología. Es mejor estar seguro que lamentar.