Osno恶意软件

Osno恶意软件是一种复杂的威胁，可以根据威胁参与者的需要，在感染的任何计算机上执行多种威胁活动。它可以收集数据，然后将其泄漏到远程服务器，同时在受感染设备上同时建立剪贴板劫持者和硬币矿工。 Osno恶意软件的主要目标似乎是希望使用非法工具的计算机用户。例如，观察到威胁被注入了“ Steam Machine Brute Force Checker”，这是一种黑客工具，用于通过非法强行强行获取密码来获取Steam引擎密码。当Osno恶意软件在后台执行其威胁活动时，特洛伊木马程序会向用户显示其正常的GUI屏幕。武器化的应用程序打包为“ Steam_Machine_Checker.rar”文件，然后可以从hxxps [：] // www [。] upload [。] ee / files / 12701875 / Steam_Machine_Checker [。] rar [。]下载。 html网站。

多种恶意软件威胁

在目标系统上执行时，Osno恶意软件通过为其创建持久机制来确保其硬币挖掘组件的存在。威胁会将运行条目注入指向“％AppData％\ Roaming \ scvhost \ scvhostservice.exe”的“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run”注册表位置。反过来，scvhostservice.exe文件执行另一个文件，该文件由名为svchost.exe的恶意软件删除，该文件负责使用受感染系统的资源对Litecoin加密货币进行硬币挖掘活动。应该注意的是，Osno Malware硬币采矿机基于具有相同功能的开源程序，例如DiabloMiner。

在Osno Malware挖矿Litecoin时，其剪贴板劫持者专注于拦截和替换保存在剪贴板中的比特币钱包地址。为了获取数据，该威胁滥用了Clipboard.GetText（）。在检测到当前剪贴板中的哈希以“ 1”开头时，Osno恶意软件使用Clipboard.SetText（）替换为它。它使用Clipboard.GetText（）获取当前剪贴板。如果当前剪贴板中的哈希以“ 1”开头，则会将其替换为黑客的钱包地址（1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX）。实际上，用户甚至可能没有意识到他们发送的资金已被重新路由到完全不同的目的地。

Osno恶意软件的信息窃取功能也非常强大。威胁可能破坏并获取书签和加密钱包地址，跟踪运行进程，扫描所有已安装的软件等。恶意软件针对的加密货币钱包列表包括比特币，以太坊，Litecoin，Electrum，Exodus，Bytecoin，Zcash，Armory， Dash，Coinomi，Guarda和Atomic。此外，威胁下载CommandCam.exe应用程序后，可以捕获受感染系统的任意屏幕截图。

可以使用Telegram Bot API的“ sendDocument”通过电报来收集收集的私有数据。上传文件的当前限制为50 MB，但可以在以后的操作中修改大小阈值。