Νέο κακόβουλο λογισμικό MosaicLoader που χρησιμοποιείται για τη διάδοση RAT
Οι ερευνητές ασφαλείας αντιμετώπισαν ένα άγνωστο προηγουμένως κακόβουλο λογισμικό, το οποίο ονομάζεται MosaicLoader. Κερδίζεται σε όλο τον κόσμο και λειτουργεί ως ένα πλήρως εξοπλισμένο εργαλείο παράδοσης κακόβουλου λογισμικού, που χρησιμοποιείται για τη διάδοση κλεμμένων cookie στο Facebook και trojan απομακρυσμένης πρόσβασης.
Οι ερευνητές ανακάλυψαν ότι το MosaicLoader εξαπλώνεται χρησιμοποιώντας πληρωμένες διαφημίσεις που εμφανίζονται στα αποτελέσματα αναζήτησης, που στοχεύουν κυρίως σε άτομα που αναζητούν σπασμένο ή με άλλο τρόπο πειρατικό λογισμικό, καθώς και σπασμένα παιχνίδια στον υπολογιστή.
Αυτό είναι ένα από τα παλαιότερα κόλπα του βιβλίου που υπάρχει εδώ και αιώνες - το θύμα κατεβάζει ένα αρχείο θεωρώντας ότι είναι ένα crack ή ένα pre-cracked εκτελέσιμο για την εφαρμογή ή το παιχνίδι, αλλά στην πραγματικότητα είναι το dropper ή το downloader του κακόβουλου λογισμικού, το οποίο το θύμα εκτελεί εθελοντικά στο σύστημά του.
Το MosaicLoader είναι πολύ ευέλικτο, επειδή μπορεί να προσφέρει οποιοδήποτε τελικό ωφέλιμο φορτίο που μπορεί να χρειαστούν οι χάκερ. Το κακόβουλο λογισμικό παίρνει μια λίστα διευθύνσεων URL από τους διακομιστές C2 και, στη συνέχεια, προχωρά στη λήψη του επιθυμητού ωφέλιμου φορτίου από αυτούς τους συνδέσμους.
Κατά τη διάρκεια του χρόνου, τα δείγματα του MosaicLoader εξετάστηκαν σε περιβάλλον δοκιμών, οι ερευνητές το είδαν να κατεβάζει κλέφτες cookie στο Facebook που διαγράφουν τα στοιχεία σύνδεσης και μπορούν να επιτρέψουν αποτελεσματικά την ανάληψη λογαριασμού, καθώς και trojans απομακρυσμένης πρόσβασης που έχουν ένα ευρύ φάσμα δυνατοτήτων, συμπεριλαμβανομένου του keylogging και της εγγραφής πολυμέσων χρησιμοποιώντας το μικρόφωνο και την κάμερα του υπολογιστή.
Μόλις ο φορτωτής επικοινωνήσει με τους διακομιστές C2, κατεβάζει ένα αρχείο αρχειοθέτησης που περιέχει τα αρχεία που είναι υπεύθυνα για το επόμενο στάδιο μόλυνσης. Το δεύτερο στάδιο της μόλυνσης πραγματοποιείται χρησιμοποιώντας δύο αρχεία, ένα από τα οποία ονομάζεται appsetup.exe. Το dropper έχει ήδη προσθέσει εξαιρέσεις του Windows Defender για τα ωφέλιμα φορτία μεταγενέστερου σταδίου, τώρα το appsetup.exe φροντίζει για την επιμονή, χρησιμοποιώντας τροποποιήσεις μητρώου.
Ένα άλλο αρχείο που ονομάζεται prun.exe εισάγει μερικούς από τον ασαφή κώδικα σε μια νέα διαδικασία που τελικά έρχεται σε επαφή με τους διακομιστές C2 και λαμβάνει το τελικό ωφέλιμο φορτίο.
Βλέποντας πώς διανέμεται πρωτίστως το MosaicLoader, όταν πρόκειται για τον αρχικό φορέα μόλυνσης, ο καλύτερος και απλούστερος τρόπος για να αποφύγετε τη μόλυνση είναι απλά να μην ψάχνετε για πειρατικές και σπασμένες εφαρμογές και παιχνίδια.
