Neue MosaicLoader-Malware zur Verbreitung von RATs
Sicherheitsforscher sind auf eine bisher unbekannte Malware namens MosaicLoader gestoßen. Es gewinnt weltweit an Bedeutung und fungiert als voll funktionsfähiges Tool zur Bereitstellung von Malware, das verwendet wird, um Facebook-Cookie-Stealer und Remote-Access-Trojaner zu verbreiten.
Forscher haben herausgefunden, dass MosaicLoader über bezahlte Werbung verbreitet wird, die in den Suchergebnissen angezeigt wird und sich hauptsächlich an Personen richtet, die nach gecrackter oder anderweitig raubkopierter Software sowie nach gecrackten Computerspielen suchen.
Dies ist einer der ältesten Tricks im Buch, die es schon seit Ewigkeiten gibt - das Opfer lädt eine Datei herunter, die es für einen Crack oder eine vorgecrackte ausführbare Datei für die Anwendung oder das Spiel hält, aber in Wirklichkeit ist es der Dropper oder Downloader der Malware, der das Opfer führt freiwillig auf seinem System aus.
MosaicLoader ist sehr flexibel, da es jede letzte Nutzlast liefern kann, die die Hacker benötigen. Die Malware ruft eine Liste von URLs von ihren C2-Servern ab und lädt dann die gewünschte Nutzlast von diesen Links herunter.
Während der Untersuchung von Mustern von MosaicLoader in einer Testumgebung beobachteten Forscher, dass Facebook-Cookie-Stealer heruntergeladen wurden, die Anmeldedaten abkratzen und effektiv Kontoübernahmen ermöglichen können, sowie Trojaner für den Fernzugriff, die über eine breite Palette von Funktionen verfügen, einschließlich Keylogging und Aufzeichnung Medien über das Mikrofon und die Kamera des Computers.
Sobald der Loader seine C2-Server kontaktiert, lädt er eine Archivdatei herunter, die die Dateien enthält, die für die nächste Infektionsstufe verantwortlich sind. Die zweite Infektionsstufe wird mit zwei Dateien durchgeführt, von denen eine appsetup.exe heißt. Der Dropper hat bereits Windows Defender-Ausnahmen für die Payloads der späteren Phase hinzugefügt, jetzt kümmert sich appsetup.exe mithilfe von Registrierungsänderungen um die Persistenz.
Eine andere Datei namens prun.exe injiziert einen Teil ihres verschleierten Codes in einen neuen Prozess, der schließlich die C2-Server kontaktiert und die endgültige Nutzlast erhält.
Wenn man sieht, wie MosaicLoader hauptsächlich verbreitet wird, ist der beste und einfachste Weg, um Infektionen zu vermeiden, wenn es um den ursprünglichen Infektionsvektor geht, einfach nicht nach Raubkopien und gecrackten Anwendungen und Spielen zu suchen.