Osno Malware

Osno Malware è una minaccia complessa in grado di eseguire più attività minacciose su qualsiasi computer infetta in base alle esigenze dell'attore della minaccia. Può raccogliere dati e quindi esfiltrarli a server remoti stabilendo contemporaneamente un dirottatore di appunti e un minatore di monete sul dispositivo compromesso. Sembra che gli obiettivi principali di Osno Malware siano gli utenti di computer che desiderano utilizzare strumenti illeciti. Ad esempio, è stato osservato che la minaccia veniva iniettata nello "Steam Machine Brute Force Checker", uno strumento di hacking per ottenere le password di Steam Engine forzandole illecitamente. L'applicazione Trojan mostra la sua normale schermata GUI all'utente mentre Osno Malware esegue la sua attività minacciosa in background. L'applicazione armata è stata confezionata in un file 'Steam_Machine_Checker.rar' ed è stata quindi resa disponibile per il download da hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] sito web html.

Una minaccia malware versatile

Dopo essere stato eseguito sul sistema del bersaglio, Osno Malware garantisce la presenza del suo componente di mining di monete creando un meccanismo di persistenza per esso. La minaccia inserisce una voce Esegui nella posizione del registro "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" che punta a "% AppData% \ Roaming \ scvhost \ scvhostservice.exe." A sua volta, il file scvhostservice.exe esegue un altro file rilasciato dal malware denominato svchost.exe, che è responsabile della conduzione dell'attività di mining di monete per la criptovaluta Litecoin con le risorse del sistema compromesso. Va notato che il minatore di monete Osno Malware si basa su programmi open source con le stesse funzionalità come DiabloMiner pesantemente.

Mentre Osno Malware estrae Litecoin, il suo dirottatore di appunti si concentra sull'intercettazione e la sostituzione degli indirizzi del portafoglio Bitcoin salvati negli appunti. Per ottenere i dati, la minaccia abusa di Clipboard.GetText (). Dopo aver rilevato che l'hash negli Appunti correnti inizia con "1", Osno Malware utilizza Clipboard.SetText () per sostituirlo con Ottiene gli Appunti correnti utilizzando Clipboard.GetText (). Se l'hash negli Appunti correnti inizia con "1", lo sostituisce con l'indirizzo del portafoglio degli hacker (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). In pratica, gli utenti potrebbero anche non rendersi conto che i fondi che hanno inviato sono stati reindirizzati a una destinazione completamente diversa.

Anche le capacità di infostealing di Osno Malware sono piuttosto potenti. La minaccia può violare e raccogliere segnalibri e indirizzi di cripto-wallet, tenere traccia dei processi in esecuzione, scansionare tutto il software installato, ecc. L'elenco dei portafogli di criptovaluta presi di mira dal malware include Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armoury, Dash, Coinomi, Guarda e Atomic. Inoltre, è possibile acquisire schermate arbitrarie del sistema infetto dopo che la minaccia ha scaricato l'applicazione CommandCam.exe.

I dati privati raccolti possono essere esfiltrati tramite telegram utilizzando "sendDocument" dell'API Bot di Telegram. Il limite attuale dei file caricati è di 50 MB ma la soglia di dimensione potrebbe essere modificata nelle operazioni future.