Osno惡意軟件

Osno惡意軟件是一種複雜的威脅，可以根據威脅參與者的需要，在感染的任何計算機上執行多種威脅活動。它可以收集數據，然後將其洩漏到遠程服務器，同時在受感染的設備上同時建立剪貼板劫持者和硬幣礦工。 Osno惡意軟件的主要目標似乎是希望使用非法工具的計算機用戶。例如，觀察到威脅被注入了“ Steam Machine Brute Force Checker”，這是一種黑客工具，用於通過非法強行強行獲取蒸汽機密碼。當Osno惡意軟件在後台執行其威脅活動時，特洛伊木馬程序會向用戶顯示其正常的GUI屏幕。武器化的應用程序打包為“ Steam_Machine_Checker.rar”文件，然後可以從hxxps [：] // www [。] upload [。] ee / files / 12701875 / Steam_Machine_Checker [。] rar [。]下載。 html網站。

多種惡意軟件威脅

在目標系統上執行後，Osno惡意軟件通過為其創建持久機制來確保其硬幣挖掘組件的存在。威脅會將運行條目注入指向“％AppData％\ Roaming \ scvhost \ scvhostservice.exe”的“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run”註冊表位置。反過來，scvhostservice.exe文件執行另一個文件，該文件由名為svchost.exe的惡意軟件刪除，該文件負責使用受感染系統的資源對Litecoin加密貨幣進行硬幣挖掘活動。應該注意的是，Osno Malware硬幣礦工基於具有相同功能的開源程序，例如DiabloMiner。

在Osno Malware挖礦Litecoin時，其剪貼板劫持者專注於攔截和替換保存在剪貼板中的比特幣錢包地址。為了獲取數據，該威脅濫用了Clipboard.GetText（）。在檢測到當前剪貼板中的哈希以“ 1”開頭時，Osno惡意軟件使用Clipboard.SetText（）替換為它。它使用Clipboard.GetText（）獲取當前剪貼板。如果當前剪貼板中的哈希以“ 1”開頭，則會將其替換為黑客的錢包地址（1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX）。實際上，用戶甚至可能沒有意識到他們發送的資金已被重新路由到完全不同的目的地。

Osno惡意軟件的信息竊取功能也非常強大。威脅可能破壞並獲取書籤和加密錢包地址，跟踪運行進程，掃描所有已安裝的軟件等。惡意軟件針對的加密貨幣錢包列表包括比特幣，以太坊，Litecoin，Electrum，Exodus，Bytecoin，Zcash，Armory， Dash，Coinomi，Guarda和Atomic。此外，威脅下載CommandCam.exe應用程序後，可以捕獲受感染系統的任意屏幕截圖。

可以使用Telegram Bot API的“ sendDocument”通過電報提取收集到的私人數據。上傳文件的當前限制為50 MB，但可以在以後的操作中修改大小閾值。