Osno Malware

Osno Malware är ett komplext hot som kan utföra flera hotande aktiviteter på vilken dator som helst som den infekterar under hotaktörens behov. Det kan skörda data och sedan exfiltrera det till fjärrservrar samtidigt som det skapas en klippkapare och en myntgruva på den komprometterade enheten samtidigt. Det verkar som att huvudmålen för Osno Malware är datoranvändare som vill använda olagliga verktyg. Till exempel observerades hotet injiceras i 'Steam Machine Brute Force Checker', ett hackverktyg för att erhålla lösenord för Steam Engine genom att tvinga dem olagligt. Den trojaniserade applikationen visar sin normala GUI-skärm för användaren medan Osno Malware kör sin hotande aktivitet i bakgrunden. Den beväpnade applikationen förpackades i en 'Steam_Machine_Checker.rar' -fil och gjordes sedan tillgänglig för nedladdning från hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] html-webbplats.

En mångsidig hot mot skadlig programvara

Efter att ha körts på målets system, säkerställer Osno Malware närvaron av dess myntbrytningskomponent genom att skapa en uthållighetsmekanism för den. Hotet injicerar en Run-post i registerplatsen 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run' som pekar på '% AppData% \ Roaming \ scvhost \ scvhostservice.exe.' I sin tur kör scvhostservice.exe-filen en annan fil som släppts av skadlig programvara som heter svchost.exe, som är ansvarig för att utföra myntbrytningsaktivitet för Litecoin-kryptovalutan med det komprometterade systemets resurser. Det bör noteras att Osno Malware myntmineraren är baserad på öppen källkodsprogram med samma funktion som DiabloMiner kraftigt.

Medan Osno Malware bryter efter Litecoin, är dess urklippskapare fokuserad på att fånga upp och ersätta Bitcoin-plånboksadresser som sparats i urklipp. För att skaffa data missbrukar hotet Clipboard.GetText (). När vi upptäcker att hashen i det aktuella Urklipp börjar med '1' använder Osno Malware Clipboard.SetText () för att ersätta den med Den får den aktuella Urklipp med Clipboard.GetText (). Om hashen i det nuvarande Urklipp börjar med '1' ersätter den den med hackarens plånbokadress (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). I praktiken kanske användarna inte ens inser att de medel som de har skickat omdirigeras till en helt annan destination.

Osno-skadlig programvara är också ganska potent. Hotet kan bryta mot och skörda bokmärken och krypto-plånbok-adresser, spåra löpande processer, skanna all installerad programvara etc. Listan över kryptovalutaplånböcker som är inriktad på skadlig programvara inkluderar Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda och Atomic. Dessutom kan godtyckliga skärmdumpar av det infekterade systemet fångas efter att hotet laddat ner programmet CommandCam.exe.

Den samlade privata informationen kan exfiltreras via telegram med hjälp av 'sendDocument' från Telegram Bot API. Den aktuella gränsen för uppladdade filer är 50 MB men storleksgränsen kan ändras i framtida operationer.