Osnoマルウェア

Osnoマルウェアは複雑な脅威であり、脅威の攻撃者のニーズの下で、感染した任意のコンピューターで複数の脅威となるアクティビティを実行できます。侵害されたデバイス上でクリップボードハイジャッカーとコインマイナーを同時に確立しながら、データを収集してリモートサーバーに盗み出すことができます。 Osno Malwareの主な標的は、違法なツールを使用したいコンピューターユーザーであるようです。たとえば、脅威は「Steam Machine Brute Force Checker」に注入されていることが観察されました。これは、Steamエンジンのパスワードをブルートフォース攻撃によって取得するためのハッキングツールです。トロイの木馬化されたアプリケーションは、Osnoマルウェアがバックグラウンドで脅威のアクティビティを実行している間、通常のGUI画面をユーザーに表示します。武器化されたアプリケーションは「Steam_Machine_Checker.rar」ファイルにパッケージ化され、hxxps [：] // www [。] upload [。] ee / files / 12701875 / Steam_Machine_Checker [。] rar [。]からダウンロードできるようになりました。 htmlウェブサイト。

多様なマルウェアの脅威

Osno Malwareは、ターゲットのシステムで実行されると、永続化メカニズムを作成することにより、コインマイニングコンポーネントの存在を保証します。この脅威は、「％AppData％\ Roaming \ scvhost \ scvhostservice.exe」を指す「HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run」レジストリの場所に実行エントリを挿入します。次に、scvhostservice.exeファイルは、svchost.exeという名前のマルウェアによってドロップされた別のファイルを実行します。このファイルは、侵害されたシステムのリソースを使用してライトコイン暗号通貨のコインマイニングアクティビティを実行します。 Osno Malwareコインマイナーは、DiabloMinerなどの同じ機能を備えたオープンソースプログラムに基づいていることに注意してください。

Osno MalwareはLitecoinをマイニングしますが、クリップボードのハイジャッカーは、クリップボードに保存されているビットコインウォレットアドレスを傍受して置き換えることに重点を置いています。データを取得するために、脅威はClipboard.GetText（）を悪用します。現在のクリップボードのハッシュが「1」で始まることを検出すると、OsnoマルウェアはClipboard.SetText（）を使用してそれを置き換えます。Clipboard.GetText（）を使用して現在のクリップボードを取得します。現在のクリップボードのハッシュが「1」で始まる場合、ハッカーのウォレットアドレス（1LrPUuoopchKbfkJYLEwk2YWqBh6ZakTxX）に置き換えられます。実際には、ユーザーは自分が送金した資金が完全に別の宛先に転送されたことに気付かない場合もあります。

Osnoマルウェアの情報盗用機能も非常に強力です。脅威は、ブックマークと暗号ウォレットアドレスの侵害と収集、実行中のプロセスの追跡、インストールされているすべてのソフトウェアのスキャンなどを行う可能性があります。マルウェアの対象となる暗号通貨ウォレットのリストには、Bitcoin、Ethereum、Litecoin、Electrum、Exodus、Bytecoin、Zcash、Armory、ダッシュ、コイノミ、グアルダ、アトミック。さらに、脅威がCommandCam.exeアプリケーションをダウンロードした後、感染したシステムの任意のスクリーンショットをキャプチャできます。

収集されたプライベートデータは、Telegram BotAPIの「sendDocument」を使用してテレグラムを介して盗み出すことができます。アップロードされるファイルの現在の制限は50MBですが、サイズのしきい値は将来の操作で変更される可能性があります。