# Oski Stealer > [!medium] Infostealer comercial C++ com foco em carteiras cripto e credenciais de mais de 60 aplicações > Oski Stealer é um infostealer escrito em C++ vendido em fóruns russos por US$70-100 desde novembro de 2019. Especializado em roubo de credenciais de 30+ navegadores, 28 carteiras de criptomoeda e dados de autofill - exportando tudo em arquivo ZIP para o painel do operador. ## Visão Geral Oski Stealer é um malware de roubo de informações que surgiu em novembro de 2019 sendo comercializado como Malware-as-a-Service (MaaS) em fóruns underground russos por um ator identificado como "oski_seller". Com preço acessível de US$70-100 por licença permanente, o Oski rapidamente ganhou popularidade entre cibercriminosos de diferentes níveis de sofisticação, sendo deployado em campanhas de phishing, downloads maliciosos e exploit kits. O nome "Oski" deriva do nórdico antigo para "guerreiro viking", e a ferramenta é igualmente agressiva na extração de dados: consegue roubar credenciais de mais de 30 navegadores baseados em Chromium e Firefox, dados de 28 carteiras de criptomoeda, informações de autopreenchimento e cartões de crédito, cookies de sessão e arquivos definidos por configuração do operador ([[t1005-data-from-local-system|T1005]]). O Oski também inclui funcionalidade de download de segundo estágio, permitindo ao operador carregar malware adicional após o furto inicial de credenciais. Uma característica operacionalmente importante do Oski é a verificação de país via idioma do sistema: se o sistema usa idioma de países da CEI (Rússia, Ucrânia, Belarus etc.), o malware encerra sua execução sem causar danos - padrão claro de "não atacar pátria" típico de grupos criminosos russos. Isso indica origem russo-alinhada do desenvolvimento, embora o malware seja vendido globalmente para qualquer comprador. O Oski foi relacionado ao stealer [[arkei|Arkei]] por pesquisadores de segurança, com análise de código mostrando sobreposições significativas - sugerindo que o "oski_seller" pode ter derivado o Oski do Arkei ou reutilizado componentes do mesmo. ## Como Funciona ```mermaid graph TB A["📧 Entrega<br/>Phishing / drive-by / exploit kit"] --> B["🔍 Verificação de ambiente<br/>Idioma CEI? Encerra"] B --> C["📥 Download DLLs<br/>Dependências do C2"] C --> D["🌐 Roubo de navegadores<br/>30+ Chrome/Firefox/Edge"] D --> E["💰 Roubo de cripto<br/>28 carteiras - wallet.dat"] E --> F["📸 Screenshot desktop<br/>+ system.txt informações"] F --> G["📦 Compactação ZIP<br/>Todos os dados roubados"] G --> H["📤 Upload para painel<br/>Operador recebe logs"] ``` ## Capacidades de Roubo | Categoria | Detalhes | |-----------|----------| | **Navegadores** | Chrome, Firefox, Edge, Opera e 25+ outros - login, cookies, autofill, cartões ([[t1555-003-credentials-from-web-browsers\|T1555.003]]) | | **Carteiras cripto** | Bitcoin Core, Ethereum, Monero, ZCash, Litecoin e 23 outros - arquivo wallet.dat | | **Screenshots** | Captura imediata do desktop ao infectar ([[t1113-screen-capture\|T1113]]) | | **Sistema** | Informações de hardware, SO, usuário salvas em system.txt | | **E-mail** | Credenciais IMAP/SMTP do Outlook via Registro do Windows | | **Grabber** | Arquivos do disco por extensão configurada pelo operador | | **Downloader** | Baixa e executa payload de segundo estágio ([[t1105-ingress-tool-transfer\|T1105]]) | ## Distribuição e Infraestrutura O Oski foi distribuído via múltiplos vetores: - **COVID-19 lures (2020):** Sites com "informações sobre COVID-19" que instalavam o Oski - **Phishing Office:** Documentos PowerPoint com macros maliciosas - **Redirect de DNS de roteador:** Hijacking de DNS doméstico para redirecionar browsers a páginas falsas - **Exploit kits:** Integrado em kits de exploração de vulnerabilidades de browser ## Detecção e Defesa **Indicadores comportamentais:** - Download de múltiplas DLLs de servidor externo por processo recém-executado logo após abertura de arquivo - Criação de pasta numerada em `%ProgramData%` com subpastas `autofill`, `cc`, `cookies`, `crypto` - Compressão e upload de arquivo ZIP para servidor externo por processo não-navegador - Acesso a banco de dados de senhas do Chrome (`Login Data`) por processo diferente do Chrome **Ferramentas de detecção:** - Regras YARA públicadas pela CyberArk e pesquisadores da comunidade para assinaturas estáticas do Oski - Sigma: Acesso a `%LocalAppData%\Google\Chrome\User Data\Local State` por processos suspeitos ## Relevância LATAM/Brasil O Oski Stealer é diretamente relevante para o Brasil. Fóruns de cibercrime russos vendiam o Oski para operadores globais, incluindo grupos que atuam na América Latina. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36) e grupos de cybercrime LATAM usam infostealers com capacidades similares - roubo de credenciais bancárias e cripto - em campanhas ativas contra usuários brasileiros. O mercado de criptomoedas brasileiro é um dos maiores da América Latina, tornando a capacidade de roubo de wallet.dat do Oski especialmente relevante para exchanges e investidores individuais no país. ## Referências - [CyberArk - Meet Oski Stealer](https://www.cyberark.com/resources/threat-research-blog/meet-oski-stealer-an-in-depth-analysis-of-the-popular-credential-stealer) - 2021 - [SOC Prime - Oski Info Stealer](https://socprime.com/blog/oski-info-stealer-empties-crypto-wallets-extracts-browser-data/) - 2021 - [Malpedia - Oski Stealer](https://malpedia.caad.fkie.fraunhofer.de/details/win.oski)