Trong quá trình giám sát trên Không gian mạng, VCS-TI liên tục phát hiện và thu thập một số lượng lớn dữ liệu dạng logs của nhiều loại mã độc đánh cắp thông tin phổ biến nhất hiện nay. Các tập dữ liệu này chứa thông tin của hơn 50 triệu người dùng trên khắp thế giới từ 1/2019 cho tới 6/2021. Nghiêm trọng hơn, thông tin của người dùng tại Việt Nam đăng nhập vào các hệ thống trọng yếu xuất hiện trong tập dữ liệu chiếm một số lượng không hề nhỏ đặc biệt là các hệ thống ngân hàng, chính phủ và truyền thông của cả nước. Vì vậy, VCS-TI cảnh báo về nguy cơ lộ lọt thông tin cá nhân nghiêm trọng đồng thời nâng cao nhận thức cho người dùng, giảm thiểu mức độ ảnh hưởng và đưa ra khuyến nghị từ các chuyên gia về việc phòng chống các loại mã độc nguy hiểm này.

H2: Mối nguy hại tới từ mã độc đánh cắp thông tin

Mã độc đánh cắp thông tin vẫn đang và sẽ tiếp tục là một trong những nguy cơ phổ biển nhất đối với người dùng khi sử dụng Internet. Đặc điểm chung của các loại phần mềm độc hại này được thiết kế riêng cho việc thu thập dữ liệu nhạy cảm của người dùng như thông tin xác thực cá nhân, tài khoản ngân hàng hay thông tin thẻ tín dụng.

Trong số đó, Oski Stealer, một loại Malware As a Service được VCS-TI phát hiện đang lây lan khá mạnh với số lượng bản ghi lộ lọt chỉ riêng trong một chiến dịch thu thập lên tới 20.000 tài khoản đăng nhập và hơn 1 triệu cookies.

##“VCS-TI đã thực hiện cảnh báo nguy cơ này tới các khách hàng thuộc Viettel chịu ảnh hưởng bởi nguy cơ lộ lọt thông tin nghiêm trọng. Mọi thông tin chi tiết, khách hàng vui lòng truy cập trang chủ của Viettel Threat Intelligence: cyberintel.io.”##

Trong bài viết lần này, VCS-TI sẽ tập trung phân tích mức độ ảnh hưởng và hậu quả của Oski Stealer đối với người dùng, khách hàng và các khuyến nghị của chuyên gia khi gặp với loại mã độc nguy hiểm trên.

I. Tổng quan chính

Oski Malware Lần đầu xuất hiện vào tháng 11/2019, Oski được giới thiệu trên các diễn đàn Underground về Hacking của Nga có giá bán từ 70-100$ với đầy đủ các tính năng của một loại mã độc đánh cắp thông tin.

H2: Bảng điều khiển chính của Oski Stealer

Cụ thể hơn, Oski nhắm trực tiếp và đánh cắp thông tin nhạy cảm cơ bản bao gồm: • Thông tin của hệ thống

• Thông tin đăng nhập/xác thực trên của trình duyệt

• Thông tin ví điện tử

• Ảnh chụp màn hình nạn nhân

• Các tập tin của nạn nhân

H3: Chi tiết các mục tiêu mà mã độc Oski thu thập

II. Sơ đồ hoạt động

H4. Sơ đồ hoạt động của mã độc Oski

Khi thực thi, Oski sẽ tải thêm 7 tập tin dll phục vụ cho từng giai đoạn đánh cắp chính trong đồng thời tạo một thư mục nhằm chứa các dữ liệu đánh cắp trong C:\ProgramData. Tên thư mục có định dạng

• C:\ProgramData\ [0–9]{15}.

Sau khi khởi tạo môi trường, Oski sẽ tiến hành đánh cắp các dữ liệu thông qua trình duyệt, registry và bộ nhớ. (Chi tiết trong mục chức năng chính)

Hoàn tất việc đánh cắp thông tin, Oski sẽ nén thư mục lại với tên có định dạng:

• CountryCode (ISO-3166-1-a-2)_Machine-ID_Date_Time.zip

(eg: VN_925554a8-b6f9-4aeb-a076-a304c691d1c6_28032021_23_51_27.zip) và gửi về qua C&C.

Cuối cùng, mã độc có thể tải về thêm một số mã độc khác hoặc thực thi câu lệnh /c /taskkill /pid  & erase  & RD /S /Q <working_folder>* & exit để thực hiện ngắt tiến trình và tự hủy dấu vết các thư mục đã tạo.

Ngoài ra, Oski được cấu tạo để hoạt động với các tính năng mở rộng như downloader, grabber và loader.

III. Chức năng chính

Oski được thiết lập với chức năng chính là đánh cắp dữ liệu có khả năng đánh cắp trên dưới 60 loại ứng dụng khác nhau trong đó bao gồm các loại trình duyệt, ứng dụng email và ví điện tử.

Bên trong bao gồm các thư mục con

• autofill - dữ liệu Autofill

• cc – dữ liệu thẻ tín dụng

• cookies – thông tin cookies

• crypto – dữ liệu ví điện tử

Và các tập tin:

• _desktop.zip & _docs.zip

• outlook.txt

• passwords.txt

• screenshot.jpg

• system.txt

H5. Thư mục làm việc của mã độc Oski
  1. Đánh cắp dữ liệu trên trình duyệt
H6. Các thông tin bị đánh cắp trên trình duyệt

Dữ liệu Oski đánh cắp bao gồm thông tin đăng nhập được lưu trên trình duyệt, cookies, thông tin thẻ tín dụng và dữ liệu autofill trên 4 loại trình duyệt khác nhau như Mozilla-based, Opera, Internet Explorer và các trình duyệt nhân Chromium thông qua đường dẫn tới các file chứa thông tin nhạy cảm:

H7. Mục tiêu của Oski nhắm tới các trình duyệt web.

Chromium

• C:\Users\ $Username\AppData\Local\Google\Chrome\User Data

Internet Explorer

• C:\Users\ $Username \AppData\Local\Microsoft\Edge\User Data\Default

• C:\Users\Threatslayer\AppData\Local\Microsoft\Credentials

• HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\IntelliForms\Storage2

Mozilla

• C:\Users\Threatslayer\AppData\Roaming\Mozilla\Firefox\Profiles

Ngoài ra, Oski đã cập nhật kĩ thuật giải mã đối với các trình duyệt để bypass hoàn toàn phương pháp mã hóa thông tin xác thực và cookies được lưu trữ của các loại trình duyệt khác nhau.

Các dữ liệu sau khi thu thập được trích xuất ra tập tin passwords.txt và các tập tin trong thư mục cookies. /passwords.txt

/cookies.txt

2. Đánh cắp dữ liệu hệ thống

Thông tin Oski thu thập trên hệ thống bao gồm:

• Thông tin về hệ điều hành (Operating System)

• Thông tin về phần cứng (Hardware)

• Các phần mềm đã được cài đặt (Installed Software)

• Thời gian trên máy đích (Time)

• Địa chỉ mạng (Network)

H8. Chi tiết các thành phần là mục tiêu đánh cắp trên hệ thống

Đặc biệt, kí tự Softwrare sai chính tả, đây là một đặc điểm để phân biệt Oski với các loại mã độc khác.

Các dữ liệu về hệ thống này sau khi thu thập sẽ trích xuất ra tập tin system.txt.

Ngoài ra, các tập tin được lấy với mục đích thu thập các file 2FA, mật khẩu người dùng thường lưu bên ngoài các thư mục Documents, Desktop hoặc bất kỳ thư mục nào kẻ tấn công mong muốn.

H9. Một số thông tin nhạy cảm người dùng lưu dưới các file .txt

Dữ liệu sau khi thu thập sẽ được nén dưới dạng _desktops.zip, docs.zip,…

3. Đánh cắp tài khoản Outlook

Các thông tin nhạy cảm như mật khẩu hoặc thông tin về máy chủ IMAP, SMTP của các tài khoản kết nối với Outlook sẽ được Oski thu thập và giải mã các value từ registry với một số key như:

• HKCU\Software\Microsoft\Internet Account Manager\Accounts

• HKLM\Software\Microsoft\Office\Outlook\OMI

• HKCU\Software\Microsoft\Office\Outlook\OMI Account Manage

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

• HKCU\Software\Microsoft\Office\19.0\Outlook\Profiles\Outlook

Nếu người dùng có sử dụng và kết nối tài khoản với MS Outlook, dữ liệu sẽ được trích xuất ra tập tin outlook.txt

4. Đánh cắp ví tiền điện tử

Oski thực hiện đánh cắp các tập tin nhạy cảm như wallet.dat chứa mã công khai và mã bí mật của 28 ứng dụng ví tiền điện tử phổ biến hiện nay.

Oski kiểm tra các thư mục này trong /AppData (C:\Users\user\AppData\Roaming) và sao chép về thư mục /crypto

H10. Thư mục /crypto/Bitcoin/ chứa wallet.dat mà VCS-TI thu thập được

Tiếp tục đọc phần 1.2 Tại đây

Tác giả: Nhóm Viettel Threat Intelligence (VCS-TI)