Osno Malware

Złośliwe oprogramowanie Osno to złożone zagrożenie, które może wykonywać wiele zagrażających działań na każdym zainfekowanym komputerze zgodnie z potrzebami aktora zagrożenia. Może zbierać dane, a następnie przesyłać je na zdalne serwery, jednocześnie ustanawiając porywacza schowka i koparkę monet na zaatakowanym urządzeniu. Wygląda na to, że głównymi celami złośliwego oprogramowania Osno są użytkownicy komputerów, którzy chcą korzystać z nielegalnych narzędzi. Na przykład zaobserwowano, że zagrożenie zostało wstrzyknięte do „Steam Machine Brute Force Checker”, narzędzia hakerskiego służącego do uzyskiwania haseł do silników parowych poprzez brutalne wymuszenie na nich. Trojanizowana aplikacja wyświetla użytkownikowi swój normalny ekran GUI, podczas gdy złośliwe oprogramowanie Osno wykonuje w tle swoją groźną aktywność. Uzbrojona aplikacja została umieszczona w pliku „Steam_Machine_Checker.rar”, a następnie udostępniona do pobrania z hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] html.

Wszechstronne zagrożenie złośliwym oprogramowaniem

Po uruchomieniu w systemie celu, Osno Malware zapewnia obecność swojego komponentu wydobywającego monety, tworząc dla niego mechanizm trwałości. Zagrożenie wprowadza wpis Run do lokalizacji rejestru „HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run”, która wskazuje na „% AppData% \ Roaming \ scvhost \ scvhostservice.exe”. Z kolei plik scvhostservice.exe uruchamia inny plik porzucony przez szkodliwe oprogramowanie o nazwie svchost.exe, które jest odpowiedzialne za prowadzenie działalności związanej z wydobywaniem monet dla kryptowaluty Litecoin przy użyciu zaatakowanych zasobów systemu. Należy zauważyć, że koparka monet Osno Malware jest oparta na programach open source o tej samej funkcjonalności, takich jak DiabloMiner.

Podczas gdy Osno Malware wydobywa Litecoina, jego porywacz schowka koncentruje się na przechwytywaniu i zastępowaniu adresów portfeli Bitcoin zapisanych w schowku. Aby uzyskać dane, zagrożenie wykorzystuje Clipboard.GetText (). Po wykryciu, że hash w bieżącym schowku zaczyna się od „1”, Osno Malware używa Clipboard.SetText (), aby go zastąpić. Pobiera bieżący schowek za pomocą Clipboard.GetText (). Jeśli skrót w bieżącym schowku zaczyna się od „1”, zastępuje go adresem portfela hakerów (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). W praktyce użytkownicy mogą nawet nie zdawać sobie sprawy, że środki, które wysłali, zostały przekierowane w zupełnie inne miejsce.

Możliwości wykradania informacji oprogramowania Osno Malware są również dość potężne. Zagrożenie może naruszać i przechwytywać zakładki i adresy krypto-portfeli, śledzić uruchomione procesy, skanować całe zainstalowane oprogramowanie itp. Lista portfeli kryptowalut, na które atakuje szkodliwe oprogramowanie, obejmuje Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory Dash, Coinomi, Guarda i Atomic. Ponadto po pobraniu przez zagrożenie aplikacji CommandCam.exe można przechwytywać dowolne zrzuty ekranu zainfekowanego systemu.

Zebrane prywatne dane można wyprowadzić telegramem przy użyciu funkcji „sendDocument” interfejsu API Telegram Bot. Obecny limit przesyłanych plików to 50 MB, ale próg rozmiaru może ulec zmianie w przyszłych operacjach.