Osno Malware

Die Osno-Malware ist eine komplexe Bedrohung, die auf jedem Computer, den sie infiziert, unter den Anforderungen des Bedrohungsakteurs mehrere Bedrohungsaktivitäten ausführen kann. Es kann Daten sammeln und dann auf Remote-Server filtern, während gleichzeitig ein Zwischenablage-Hijacker und ein Coin Miner auf dem gefährdeten Gerät eingerichtet werden. Es scheint, dass die Hauptziele der Osno-Malware Computerbenutzer sind, die illegale Tools verwenden möchten. Beispielsweise wurde beobachtet, dass die Bedrohung in den "Steam Machine Brute Force Checker" injiziert wurde, ein Hack-Tool zum Abrufen von Steam Engine-Passwörtern, indem diese illegal erzwungen werden. Die trojanisierte Anwendung zeigt dem Benutzer ihren normalen GUI-Bildschirm an, während die Osno-Malware ihre Bedrohungsaktivität im Hintergrund ausführt. Die Waffenanwendung wurde in eine 'Steam_Machine_Checker.rar'-Datei gepackt und dann unter hxxps [:] // www [.] Upload [.] Ee / files / 12701875 / Steam_Machine_Checker [.] Rar [.]  HTML-Website zum Download bereitgestellt.

Eine vielseitige Bedrohung durch Malware

Bei der Ausführung auf dem Zielsystem stellt die Osno-Malware das Vorhandensein ihrer Coin-Mining-Komponente sicher, indem sie einen Persistenzmechanismus für das Zielsystem erstellt. Die Bedrohung fügt einen Ausführungseintrag in den Registrierungsspeicherort "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" ein, der auf "% AppData% \ Roaming \ scvhost \ scvhostservice.exe" verweist. Die Datei scvhostservice.exe führt wiederum eine andere Datei aus, die von der Malware svchost.exe geliefert wurde. Diese Datei ist für die Durchführung von Coin-Mining-Aktivitäten für die Litecoin-Kryptowährung mit den Ressourcen des gefährdeten Systems verantwortlich. Es ist zu beachten, dass der Osno Malware Coin Miner stark auf Open-Source-Programmen mit der gleichen Funktionalität wie DiabloMiner basiert.

Während die Osno Malware nach Litecoin sucht, konzentriert sich der Hijacker in der Zwischenablage darauf, die in der Zwischenablage gespeicherten Bitcoin-Brieftaschenadressen abzufangen und zu ersetzen. Um die Daten abzurufen, missbraucht die Bedrohung Clipboard.GetText (). Wenn festgestellt wird, dass der Hash in der aktuellen Zwischenablage mit '1' beginnt, verwendet die Osno-Malware Clipboard.SetText (), um ihn durch zu ersetzen. Mit Clipboard.GetText () wird die aktuelle Zwischenablage abgerufen. Wenn der Hash in der aktuellen Zwischenablage mit '1' beginnt, wird er durch die Brieftaschenadresse der Hacker (1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX) ersetzt. In der Praxis stellen Benutzer möglicherweise nicht einmal fest, dass die von ihnen gesendeten Gelder an ein völlig anderes Ziel umgeleitet wurden.

Die Infostealing-Funktionen der Osno-Malware sind ebenfalls sehr effektiv. Die Bedrohung kann Lesezeichen und Crypto-Wallet-Adressen verletzen und ernten, laufende Prozesse verfolgen, die gesamte installierte Software scannen usw. Die Liste der Cryptocurrency-Wallets, auf die die Malware abzielt, umfasst Bitcoin, Ethereum, Litecoin, Electrum, Exodus, Bytecoin, Zcash, Armory, Dash, Coinomi, Guarda und Atomic. Darüber hinaus können beliebige Screenshots des infizierten Systems erfasst werden, nachdem die Bedrohung die Anwendung CommandCam.exe heruntergeladen hat.

Die gesammelten privaten Daten können per Telegramm mit 'sendDocument' der Telegram Bot API exfiltriert werden. Das aktuelle Limit der hochgeladenen Dateien beträgt 50 MB, der Größenschwellenwert kann jedoch in zukünftigen Vorgängen geändert werden.