Threat Database Malware Osno Malware

Osno Malware

O Osno Malware é uma ameaça complexa que pode executar várias atividades ameaçadoras em qualquer computador que infectar, atendendo às necessidades do ator da ameaça. Ele pode coletar dados e, em seguida, exfiltrá-los para servidores remotos enquanto estabelece um sequestrador de área de transferência e um minerador de moedas no dispositivo comprometido simultaneamente. Parece que os principais alvos do Malware Osno são os usuários de computador que desejam usar ferramentas ilícitas. Por exemplo, observou-se que a ameaça foi injetada no 'Steam Machine Brute Force Checker', uma ferramenta de hack para obter senhas do Steam Engine forçando-as ilegalmente. O aplicativo Trojanized exibe sua tela GUI normal para o usuário enquanto o Osno Malware executa sua atividade ameaçadora em segundo plano. O aplicativo como arma foi empacotado em um arquivo 'Steam_Machine_Checker.rar' e foi então disponibilizado para download no hxxps[:]//www[.]upload[.]ee/files/12701875/Steam_Machine_Checker[.]rar[.]html site.

Uma Ameaça Versátil de Malware

Ao ser executado no sistema do alvo, o Osno Malware garante a presença de seu componente de mineração de moedas criando um mecanismo de persistência para ele. A ameaça injeta uma entrada Executar no local de registro 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run' que aponta para '%AppData%\Roaming\ cvhost\ scvhostservice.exe.' Por sua vez, o arquivo scvhostservice.exe executa outro arquivo descartado pelo malware chamado svchost.exe, que é responsável por conduzir a atividade de mineração de moedas para a criptomoeda Litecoin com os recursos do sistema comprometido. Deve-se notar que o minerador de moedas Osno Malware é baseado em programas de código aberto com a mesma funcionalidade, como o DiabloMiner.

Enquanto o Malware Osno procura Litecoin, seu sequestrador de área de transferência se concentra em interceptar e substituir endereços de carteira de Bitcoin salvos na área de transferência. Para obter os dados, a ameaça abusa da Clipboard.GetText (). Ao detectar que o hash na área de transferência atual começa com '1', o malware Osno usa Clipboard.SetText () para substituí-lo por Ele obtém a área de transferência atual usando Clipboard.GetText (). Se o hash na área de transferência atual começar com '1', ele o substituirá pelo endereço da carteira dos hackers (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). Na prática, os usuários podem nem perceber que os fundos que enviaram foram redirecionados para um destino completamente diferente.

Os recursos de infostealing do Osno Malware também são bastante potentes. A ameaça pode violar e colher favoritos e endereços de cripto-carteira, rastrear processos em execução, verificar todos os softwares instalados, etc. A lista de carteiras de criptomoedas alvo do malware inclui Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda e Atomic. Além disso, capturas de tela arbitrárias do sistema infectado podem ser capturadas depois que a ameaça baixa o aplicativo CommandCam.exe.

Os dados privados coletados podem ser exfiltrados via telegrama usando 'sendDocument' da API do Telegram Bot. O limite atual dos arquivos carregados é de 50 MB, mas o limite de tamanho pode ser modificado em operações futuras.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...