Logiciel malveillant Osno

Le logiciel malveillant Osno est une menace complexe qui peut effectuer plusieurs activités menaçantes sur n'importe quel ordinateur qu'il infecte en fonction des besoins de l'acteur de la menace. Il peut récolter des données, puis les exfiltrer vers des serveurs distants tout en établissant simultanément un pirate de l'air de presse-papiers et un mineur de pièces sur l'appareil compromis. Il semble que les principales cibles du logiciel malveillant Osno soient les utilisateurs d'ordinateurs qui souhaitent utiliser des outils illicites. Par exemple, on a observé que la menace était injectée dans le `` Steam Machine Brute Force Checker '', un outil de piratage permettant d'obtenir des mots de passe Steam Engine en les forçant illégalement. L'application cheval de Troie affiche son écran GUI normal à l'utilisateur pendant que le logiciel malveillant Osno exécute son activité menaçante en arrière-plan. L'application armée a été empaquetée dans un fichier 'Steam_Machine_Checker.rar' et a ensuite été rendue disponible pour téléchargement à partir du fichier hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] site Web html.

Une menace malveillante polyvalente

Une fois exécuté sur le système de la cible, le logiciel malveillant Osno garantit la présence de son composant d'extraction de pièces en créant un mécanisme de persistance pour celui-ci. La menace injecte une entrée Exécuter dans l'emplacement de registre «HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run» qui pointe vers «% AppData% \ Roaming \ scvhost \ scvhostservice.exe». À son tour, le fichier scvhostservice.exe exécute un autre fichier déposé par le logiciel malveillant nommé svchost.exe, qui est responsable de la conduite de l'activité d'extraction de pièces pour la crypto-monnaie Litecoin avec les ressources du système compromis. Il convient de noter que le mineur de pièces Osno Malware est basé sur des programmes open-source avec les mêmes fonctionnalités telles que DiabloMiner fortement.

Alors que Osno Malware exploite Litecoin, son pirate de l'air de presse-papiers se concentre sur l'interception et la substitution des adresses de portefeuille Bitcoin enregistrées dans le presse-papiers. Pour obtenir les données, la menace abuse de Clipboard.GetText (). Lorsqu'il détecte que le hachage dans le presse-papiers actuel commence par «1», le logiciel malveillant Osno utilise Clipboard.SetText () pour le remplacer par Il obtient le presse-papiers actuel en utilisant Clipboard.GetText (). Si le hachage dans le Presse-papiers actuel commence par «1», il le remplace par l'adresse de portefeuille des pirates (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). Dans la pratique, les utilisateurs peuvent même ne pas se rendre compte que les fonds qu'ils ont envoyés ont été réacheminés vers une destination complètement différente.

Les capacités d'infostealing du logiciel malveillant Osno sont également assez puissantes. La menace peut violer et récolter des signets et des adresses de crypto-portefeuille, suivre les processus en cours, analyser tous les logiciels installés, etc. La liste des portefeuilles de crypto-monnaie ciblés par le malware comprend Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda et Atomic. En outre, des captures d'écran arbitraires du système infecté peuvent être capturées une fois que la menace a téléchargé l'application CommandCam.exe.

Les données privées collectées peuvent être exfiltrées par télégramme en utilisant 'sendDocument' de l'API Telegram Bot. La limite actuelle des fichiers téléchargés est de 50 Mo mais le seuil de taille pourrait être modifié lors d'opérations futures.