Threat Database Malware Osno Malware

Osno Malware

De Osno Malware is een complexe bedreiging die meerdere bedreigende activiteiten kan uitvoeren op elke computer die het infecteert onder de behoeften van de bedreigingsacteur. Het kan gegevens verzamelen en vervolgens exfiltreren naar externe servers, terwijl het tegelijkertijd een klembordkaper en een muntmijnwerker op het gecompromitteerde apparaat tot stand brengt. Het lijkt erop dat de belangrijkste doelwitten van de Osno Malware computergebruikers zijn die illegale tools willen gebruiken. Er werd bijvoorbeeld waargenomen dat de dreiging werd geïnjecteerd in de 'Steam Machine Brute Force Checker', een hacktool voor het verkrijgen van Steam Engine-wachtwoorden door ze illegaal bruut te forceren. De Trojanized applicatie toont zijn normale GUI-scherm aan de gebruiker terwijl de Osno Malware zijn bedreigende activiteit op de achtergrond uitvoert. De bewapende applicatie werd verpakt in een 'Steam_Machine_Checker.rar'-bestand en werd vervolgens beschikbaar gesteld om te downloaden van de hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] html-website.

Een veelzijdige malwarebedreiging

Nadat het op het systeem van het doelwit is uitgevoerd, zorgt de Osno Malware voor de aanwezigheid van zijn component voor het delven van munten door er een persistentiemechanisme voor te creëren. De bedreiging injecteert een Run-vermelding in de registerlocatie 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run' die verwijst naar de '% AppData% \ Roaming \ scvhost \ scvhostservice.exe'. Het bestand scvhostservice.exe voert op zijn beurt een ander bestand uit dat is gedropt door de malware genaamd svchost.exe, die verantwoordelijk is voor het uitvoeren van muntmijnactiviteiten voor de Litecoin-cryptocurrency met de bronnen van het gecompromitteerde systeem. Opgemerkt moet worden dat de muntmijnwerker van Osno Malware sterk is gebaseerd op open-sourceprogramma's met dezelfde functionaliteit, zoals DiabloMiner.

Terwijl de Osno Malware mijnen naar Litecoin, is de klembordkaper gericht op het onderscheppen en vervangen van Bitcoin-portemonnee-adressen die op het klembord zijn opgeslagen. Om de gegevens te verkrijgen, misbruikt de dreiging Clipboard.GetText (). Bij het detecteren dat de hash in het huidige klembord begint met '1', gebruikt de Osno Malware Clipboard.SetText () om het te vervangen door. Het haalt het huidige klembord op met behulp van Clipboard.GetText (). Als de hash in het huidige klembord begint met '1', wordt deze vervangen door het wallet-adres van de hackers (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). In de praktijk realiseren gebruikers zich misschien niet eens dat het geld dat ze hebben overgemaakt, naar een geheel andere bestemming is omgeleid.

De infostealing-mogelijkheden van de Osno Malware zijn ook behoorlijk krachtig. De dreiging kan bladwijzers en crypto-wallet-adressen doorbreken en oogsten, lopende processen volgen, alle geïnstalleerde software scannen, enz. De lijst met cryptocurrency-wallets waarop de malware is gericht, omvat Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda en Atomic. Bovendien kunnen willekeurige schermafbeeldingen van het geïnfecteerde systeem worden vastgelegd nadat de bedreiging de toepassing CommandCam.exe heeft gedownload.

De verzamelde privégegevens kunnen via telegram worden geëxfiltreerd met behulp van 'sendDocument' van de Telegram Bot API. De huidige limiet van de geüploade bestanden is 50 MB, maar de groottedrempel kan in toekomstige bewerkingen worden gewijzigd.

Gerelateerde berichten

Trending

Meest bekeken

Bezig met laden...