Osno Malware

Osno Malware er en kompleks trussel, der kan udføre flere truende aktiviteter på enhver computer, den inficerer under trusselsaktørens behov. Det kan høste data og derefter exfiltrere det til eksterne servere, mens der oprettes en udklipsholderkaprer og en møntminearbejder på den kompromitterede enhed samtidigt. Det ser ud til, at de vigtigste mål for Osno Malware er computerbrugere, der ønsker at bruge ulovlige værktøjer. For eksempel blev der observeret, at truslen blev injiceret i 'Steam Machine Brute Force Checker', et hackværktøj til at få adgang til Steam-motoradgangskoder ved at tvinge dem ulovligt. Den trojaniserede applikation viser sin normale GUI-skærm for brugeren, mens Osno Malware udfører sin truende aktivitet i baggrunden. Den våbenapplikation blev pakket i en 'Steam_Machine_Checker.rar' fil og blev derefter gjort tilgængelig til download fra hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] html-websted.

En alsidig malware-trussel

Efter at være udført på målets system sikrer Osno Malware tilstedeværelsen af dets møntminekomponent ved at skabe en persistensmekanisme for den. Truslen injicerer en Kør-post i "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" -registreringsplaceringen, der peger på '% AppData% \ Roaming \ scvhost \ scvhostservice.exe.' Til gengæld udfører scvhostservice.exe-filen en anden fil, der er droppet af malware ved navn svchost.exe, som er ansvarlig for at udføre møntminearbejde for Litecoin-kryptokurrency med det kompromitterede systems ressourcer. Det skal bemærkes, at Osno Malware møntminearbejder er baseret på open source-programmer med den samme funktionalitet som DiabloMiner stærkt.

Mens Osno Malware miner til Litecoin, er dens udklipsholderkaprer fokuseret på at opfange og erstatte Bitcoin-tegnebogadresser, der er gemt i udklipsholderen. For at opnå data misbruger truslen Clipboard.GetText (). Efter at have registreret, at hashen i det aktuelle udklipsholder begynder med '1', bruger Osno Malware Clipboard.SetText () til at erstatte det med Det får det aktuelle udklipsholder ved hjælp af Clipboard.GetText (). Hvis hash i det aktuelle udklipsholder starter med '1', erstatter det det med hackernes tegnebog-adresse (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). I praksis er brugerne måske ikke engang klar over, at de midler, de har sendt, blev omdirigeret til en helt anden destination.

Osno Malwares infostealingsfunktioner er også ret potente. Truslen kan bryde og høste bogmærker og crypto-wallet-adresser, spore kørende processer, scanne al installeret software osv. Listen over malware-tegnebøger, der er målrettet mod malware, inkluderer Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda og Atomic. Derudover kan vilkårlige skærmbilleder af det inficerede system fanges, når truslen downloader CommandCam.exe-applikationen.

De indsamlede private data kan exfiltreres via telegram ved hjælp af 'sendDocument' fra Telegram Bot API. Den aktuelle grænse for de uploadede filer er 50 MB, men størrelsestærsklen kan ændres i fremtidige operationer.