Ny MosaicLoader Malware bruges til at sprede RAT'er
Sikkerhedsforskere er stødt på en tidligere ukendt malware, kaldet MosaicLoader. Det vinder trækkraft over hele verden og fungerer som et fuldt udstyret malware-leveringsværktøj, der bruges til at sprede Facebook-cookie-stjælere og fjernadgangstrojans.
Forskere opdagede, at MosaicLoader spredes ved hjælp af betalte reklamer, der vises i søgeresultaterne, primært rettet mod folk, der søger krakket eller på anden måde piratkopieret software, samt krakket computerspil.
Dette er et af de ældste tricks i bogen, der har eksisteret i årevis - offeret downloader en fil, der tænker, at det er en crack eller en pre-cracket eksekverbar applikation eller spil, men i virkeligheden er det malwareens dropper eller downloader, som offeret udfører frivilligt på deres system.
MosaicLoader er meget fleksibel, fordi den kan levere den endelige nyttelast, som hackerne måtte have brug for. Malwaren henter en liste over URL'er fra dens C2-servere og fortsætter derefter med at downloade den ønskede nyttelast fra disse links.
I løbet af den tid, prøver af MosaicLoader blev undersøgt i et testmiljø, så forskerne det downloade Facebook-cookie-stjælere, der skraber loginoplysninger og effektivt kan give mulighed for kontoovertagelser samt fjernadgangstrojanere, der har en bred vifte af muligheder, herunder keylogging og optagelse medier ved hjælp af computerens mikrofon og kamera.
Når læsseren har kontaktet sine C2-servere, downloader den en arkivfil, der indeholder de filer, der er ansvarlige for den næste infektionsfase. Den anden fase af infektion udføres ved hjælp af to filer, hvoraf den ene kaldes appsetup.exe. Dropperen har allerede tilføjet undtagelser fra Windows Defender for de senere stadie nyttelast, nu appsetup.exe tager sig af vedholdenhed ved hjælp af registreringsdatabase redigeringer.
En anden fil kaldet prun.exe indsprøjter noget af sin tilslørede kode i en ny proces, der til sidst kontakter C2-serverne og opnår den endelige nyttelast.
At se, hvordan MosaicLoader primært distribueres, når det kommer til den oprindelige infektionsvektor, er den bedste og enkleste måde at undgå infektion på ved simpelthen ikke at søge efter piratkopierede og revnede applikationer og spil.