Le nouveau logiciel malveillant MosaicLoader utilisé pour propager les RAT
Les chercheurs en sécurité ont rencontré un malware jusqu'alors inconnu, appelé MosaicLoader. Il gagne du terrain dans le monde entier et agit comme un outil de diffusion de logiciels malveillants complet, utilisé pour diffuser les voleurs de cookies Facebook et les chevaux de Troie d'accès à distance.
Les chercheurs ont découvert que MosaicLoader se propage à l'aide de publicités payantes apparaissant dans les résultats de recherche, principalement destinées aux personnes à la recherche de logiciels piratés ou piratés, ainsi que de jeux informatiques piratés.
C'est l'une des astuces les plus anciennes du livre qui existe depuis des lustres - la victime télécharge un fichier en pensant qu'il s'agit d'un crack ou d'un exécutable pré-craqué pour l'application ou le jeu, mais en réalité c'est le compte-gouttes ou le téléchargeur du malware, qui la victime exécute volontairement sur son système.
MosaicLoader est très flexible car il peut fournir toute charge utile finale dont les pirates peuvent avoir besoin. Le malware récupère une liste d'URL de ses serveurs C2, puis procède au téléchargement de la charge utile souhaitée à partir de ces liens.
Pendant que des échantillons de MosaicLoader ont été examinés dans un environnement de test, les chercheurs l'ont vu télécharger des voleurs de cookies Facebook qui récupèrent les informations de connexion et peuvent effectivement permettre des prises de contrôle de compte, ainsi que des chevaux de Troie d'accès à distance qui ont un large éventail de capacités, y compris l'enregistrement et l'enregistrement de frappe. média à l'aide du microphone et de la caméra de l'ordinateur.
Une fois que le chargeur contacte ses serveurs C2, il télécharge un fichier d'archive qui contient les fichiers responsables de la prochaine étape de l'infection. La deuxième étape de l'infection est réalisée à l'aide de deux fichiers, dont l'un s'appelle appsetup.exe. Le compte-gouttes a déjà ajouté des exceptions Windows Defender pour les charges utiles de stade ultérieur, maintenant appsetup.exe prend en charge la persistance, en utilisant des modifications de registre.
Un autre fichier appelé prun.exe injecte une partie de son code obscurci dans un nouveau processus qui contacte finalement les serveurs C2 et obtient la charge utile finale.
En voyant comment MosaicLoader est principalement distribué, en ce qui concerne le vecteur d'infection d'origine, le moyen le plus simple et le plus simple d'éviter l'infection est tout simplement de ne pas rechercher d'applications et de jeux piratés et piratés.