Neue MosaicLoader-Malware zur Verbreitung von RATs

Sicherheitsforscher sind auf eine bisher unbekannte Malware namens MosaicLoader gestoßen. Es gewinnt weltweit an Bedeutung und fungiert als voll funktionsfähiges Tool zur Bereitstellung von Malware, das verwendet wird, um Facebook-Cookie-Stealer und Remote-Access-Trojaner zu verbreiten.

Forscher haben herausgefunden, dass MosaicLoader über bezahlte Werbung verbreitet wird, die in den Suchergebnissen angezeigt wird und sich hauptsächlich an Personen richtet, die nach gecrackter oder anderweitig raubkopierter Software sowie nach gecrackten Computerspielen suchen.

Dies ist einer der ältesten Tricks im Buch, die es schon seit Ewigkeiten gibt - das Opfer lädt eine Datei herunter, die es für einen Crack oder eine vorgecrackte ausführbare Datei für die Anwendung oder das Spiel hält, aber in Wirklichkeit ist es der Dropper oder Downloader der Malware, der das Opfer führt freiwillig auf seinem System aus.

MosaicLoader ist sehr flexibel, da es jede letzte Nutzlast liefern kann, die die Hacker benötigen. Die Malware ruft eine Liste von URLs von ihren C2-Servern ab und lädt dann die gewünschte Nutzlast von diesen Links herunter.

Während der Untersuchung von Mustern von MosaicLoader in einer Testumgebung beobachteten Forscher, dass Facebook-Cookie-Stealer heruntergeladen wurden, die Anmeldedaten abkratzen und effektiv Kontoübernahmen ermöglichen können, sowie Trojaner für den Fernzugriff, die über eine breite Palette von Funktionen verfügen, einschließlich Keylogging und Aufzeichnung Medien über das Mikrofon und die Kamera des Computers.

Sobald der Loader seine C2-Server kontaktiert, lädt er eine Archivdatei herunter, die die Dateien enthält, die für die nächste Infektionsstufe verantwortlich sind. Die zweite Infektionsstufe wird mit zwei Dateien durchgeführt, von denen eine appsetup.exe heißt. Der Dropper hat bereits Windows Defender-Ausnahmen für die Payloads der späteren Phase hinzugefügt, jetzt kümmert sich appsetup.exe mithilfe von Registrierungsänderungen um die Persistenz.

Eine andere Datei namens prun.exe injiziert einen Teil ihres verschleierten Codes in einen neuen Prozess, der schließlich die C2-Server kontaktiert und die endgültige Nutzlast erhält.

Wenn man sieht, wie MosaicLoader hauptsächlich verbreitet wird, ist der beste und einfachste Weg, um Infektionen zu vermeiden, wenn es um den ursprünglichen Infektionsvektor geht, einfach nicht nach Raubkopien und gecrackten Anwendungen und Spielen zu suchen.

Bis Zaib
July 21, 2021
Computer Security
Deutsch
July 21, 2021
Computer Security

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.