Osno Malware

Osno Kötü Amaçlı Yazılım, tehdit aktörünün ihtiyaçları doğrultusunda bulaştığı herhangi bir bilgisayarda birden çok tehdit eylemi gerçekleştirebilen karmaşık bir tehdittir. Verileri toplayabilir ve daha sonra, güvenliği ihlal edilen cihazda aynı anda bir pano korsanlığı ve madeni para madencisi kurarken uzak sunuculara sızabilir. Osno Kötü Amaçlı Yazılımın ana hedeflerinin yasadışı araçlar kullanmak isteyen bilgisayar kullanıcıları olduğu anlaşılıyor. Örneğin, tehdidin, Steam Engine şifrelerini yasa dışı bir şekilde zorlayarak elde etmek için bir hack aracı olan 'Steam Machine Brute Force Checker'a enjekte edildiği gözlemlendi. Trojanized uygulama, Osno Malware arka planda tehdit edici aktivitesini yürütürken kullanıcıya normal GUI ekranını görüntüler. Silah haline getirilmiş uygulama bir 'Steam_Machine_Checker.rar' dosyasına paketlendi ve daha sonra hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.] html web sitesi.

Çok Yönlü Bir Kötü Amaçlı Yazılım Tehdidi

Osno Kötü Amaçlı Yazılım, hedefin sisteminde yürütüldükten sonra madeni para madenciliği bileşeninin varlığını, kendisi için bir kalıcılık mekanizması oluşturarak sağlar. Tehdit, 'HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run' kayıt defteri konumuna '% AppData% \ Roaming \ scvhost \ scvhostservice.exe'ye işaret eden bir Çalıştırma girdisi ekler. Buna karşılık, scvhostservice.exe dosyası, saldırıya uğramış sistemin kaynakları ile Litecoin kripto para birimi için madeni para madenciliği faaliyetini yürütmekten sorumlu svchost.exe adlı kötü amaçlı yazılım tarafından bırakılan başka bir dosyayı yürütür. Osno Malware madeni para madencisinin ağırlıklı olarak DiabloMiner gibi aynı işlevselliğe sahip açık kaynaklı programlara dayandığına dikkat edilmelidir.

Osno Malware Litecoin için madencilik yaparken, onun pano korsanları panoya kaydedilen Bitcoin cüzdan adreslerini yakalamaya ve değiştirmeye odaklanıyor. Verileri elde etmek için tehdit Clipboard.GetText () 'i kötüye kullanır. Geçerli Panodaki karmanın '1' ile başladığını tespit ettikten sonra, Osno Kötü Amaçlı Yazılım, Clipboard.GetText () kullanarak geçerli Panoyu almak için Clipboard.SetText () 'i kullanır. Mevcut Panodaki karma '1' ile başlıyorsa, onu bilgisayar korsanlarının cüzdan adresiyle değiştirir (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX). Uygulamada, kullanıcılar gönderdikleri fonların tamamen farklı bir hedefe yönlendirildiğinin farkında bile olmayabilir.

Osno Malware'in bilgi hırsızlığı yetenekleri de oldukça güçlüdür. Tehdit, yer imlerini ve kripto-cüzdan adreslerini ihlal edebilir ve toplayabilir, çalışan süreçleri izleyebilir, yüklü tüm yazılımları tarayabilir, vb. Kötü amaçlı yazılım tarafından hedeflenen kripto para birimi cüzdanlarının listesi arasında Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda ve Atomic. Ek olarak, tehdit CommandCam.exe uygulamasını indirdikten sonra virüslü sistemin rastgele ekran görüntüleri de alınabilir.

Toplanan özel veriler, Telegram Bot API'sinin 'sendDocument' kullanılarak telgraf yoluyla dışarı sızabilir. Yüklenen dosyaların mevcut sınırı 50 MB'dir, ancak boyut eşiği gelecekteki işlemlerde değiştirilebilir.