Nuevo malware MosaicLoader utilizado para propagar RAT
Los investigadores de seguridad se han encontrado con un malware previamente desconocido, llamado MosaicLoader. Está ganando terreno en todo el mundo y actúa como una herramienta de distribución de malware con todas las funciones, que se utiliza para difundir los ladrones de cookies de Facebook y los troyanos de acceso remoto.
Los investigadores descubrieron que MosaicLoader se difunde mediante anuncios pagados que aparecen en los resultados de búsqueda, principalmente dirigidos a personas que buscan software pirateado o pirateado, así como juegos de computadora pirateados.
Este es uno de los trucos más antiguos del libro que ha existido durante años: la víctima descarga un archivo pensando que es un crack o un ejecutable previamente descifrado para la aplicación o juego, pero en realidad es el dropper o downloader del malware, que la víctima ejecuta voluntariamente en su sistema.
MosaicLoader es muy flexible porque puede entregar cualquier carga útil final que los piratas informáticos puedan necesitar. El malware toma una lista de URL de sus servidores C2 y luego procede a descargar la carga útil deseada de esos enlaces.
Durante el tiempo en que se examinaron las muestras de MosaicLoader en un entorno de prueba, los investigadores lo vieron descargando ladrones de cookies de Facebook que raspan los detalles de inicio de sesión y pueden permitir efectivamente la apropiación de cuentas, así como troyanos de acceso remoto que tienen una amplia gama de capacidades, incluyendo keylogging y grabación. medios usando el micrófono y la cámara de la computadora.
Una vez que el cargador se pone en contacto con sus servidores C2, descarga un archivo de almacenamiento que contiene los archivos responsables de la siguiente etapa de la infección. La segunda etapa de la infección se lleva a cabo utilizando dos archivos, uno de los cuales se llama appsetup.exe. El cuentagotas ya ha agregado excepciones de Windows Defender para las cargas útiles de la etapa posterior, ahora appsetup.exe se encarga de la persistencia mediante ediciones del registro.
Otro archivo llamado prun.exe inyecta parte de su código ofuscado en un nuevo proceso que finalmente contacta con los servidores C2 y obtiene la carga útil final.
Al ver cómo se distribuye principalmente MosaicLoader, cuando se trata del vector de infección original, la mejor y más sencilla forma de evitar la infección es simplemente no buscar aplicaciones y juegos pirateados o crackeados.
