Software malicioso de Osno

Osno Malware es una amenaza compleja que puede realizar múltiples actividades amenazantes en cualquier computadora que infecte bajo las necesidades del actor de la amenaza. Puede recolectar datos y luego exfiltrarlos a servidores remotos mientras establece un secuestrador de portapapeles y un minero de monedas en el dispositivo comprometido simultáneamente. Parece que los principales objetivos del Osno Malware son los usuarios de ordenadores que desean utilizar herramientas ilícitas. Por ejemplo, se observó que la amenaza se inyectaba en 'Steam Machine Brute Force Checker', una herramienta de pirateo para obtener contraseñas de Steam Engine forzándolas ilícitamente. La aplicación troyana muestra su pantalla GUI normal al usuario mientras Osno Malware ejecuta su actividad amenazante en segundo plano. La aplicación armada se empaquetó en un archivo 'Steam_Machine_Checker.rar' y luego estuvo disponible para su descarga desde hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] sitio web html.

Una amenaza de malware versátil

Al ser ejecutado en el sistema del objetivo, Osno Malware asegura la presencia de su componente de minería de monedas creando un mecanismo de persistencia para él. La amenaza inyecta una entrada Ejecutar en la ubicación del registro 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run' que apunta a '% AppData% \ Roaming \ scvhost \ scvhostservice.exe'. A su vez, el archivo scvhostservice.exe ejecuta otro archivo lanzado por el malware llamado svchost.exe, que es responsable de realizar la actividad de minería de monedas para la criptomoneda Litecoin con los recursos del sistema comprometidos. Cabe señalar que el minero de monedas Osno Malware se basa en programas de código abierto con la misma funcionalidad como DiabloMiner en gran medida.

Mientras que Osno Malware busca Litecoin, su secuestrador de portapapeles se centra en interceptar y sustituir las direcciones de billetera de Bitcoin guardadas en el portapapeles. Para obtener los datos, la amenaza abusa de Clipboard.GetText (). Al detectar que el hash en el Portapapeles actual comienza con '1', Osno Malware usa Clipboard.SetText () para reemplazarlo con Obtiene el Portapapeles actual usando Clipboard.GetText (). Si el hash en el Portapapeles actual comienza con '1', lo reemplaza con la dirección de billetera de los piratas informáticos (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). En la práctica, es posible que los usuarios ni siquiera se den cuenta de que los fondos que han enviado se desviaron a un destino completamente diferente.

Las capacidades de robo de información del Osno Malware también son bastante potentes. La amenaza puede violar y recolectar marcadores y direcciones de billeteras criptográficas, rastrear procesos en ejecución, escanear todo el software instalado, etc. La lista de billeteras criptográficas objetivo del malware incluye Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory Dash, Coinomi, Guarda y Atomic. Además, se pueden capturar capturas de pantalla arbitrarias del sistema infectado después de que la amenaza descargue la aplicación CommandCam.exe.

Los datos privados recopilados se pueden filtrar a través de telegram usando 'sendDocument' de la API de Telegram Bot. El límite actual de archivos cargados es de 50 MB, pero el umbral de tamaño podría modificarse en operaciones futuras.