Új MosaicLoader kártevő program, amelyet RAT-ok terjesztésére használnak
A biztonsági kutatók egy korábban ismeretlen kártevővel futottak össze, a MosaicLoader néven. Világszerte vonzóbbá válik, és teljes körűen kártevő-szállító eszközként működik, amelyet a Facebook cookie-lopók és távoli hozzáférésű trójaiak terjesztésére használnak.
A kutatók felfedezték, hogy a MosaicLoader olyan fizetett hirdetések segítségével terjed, amelyek a keresési eredmények között jelennek meg, elsősorban azokat, akik repedt vagy más módon kalóz szoftvereket, valamint repedezett számítógépes játékokat keresnek.
Ez az egyik legrégebbi trükk a könyvben, amely már évek óta létezik - az áldozat letölti a fájlt, úgy gondolva, hogy ez egy repedés vagy egy előre feltört futtatható fájl az alkalmazáshoz vagy a játékhoz, de a valóságban ez a kártevő cseppentője vagy letöltője az áldozat önként végrehajtja a rendszerét.
A MosaicLoader nagyon rugalmas, mert a hackerek számára szükséges végső hasznos terhet képes szállítani. A rosszindulatú program megkapja az URL-ek listáját C2 szervereiről, majd letölti a kívánt hasznos terhet ezekből a hivatkozásokból.
A MosaicLoader mintáinak tesztelési környezetben történő vizsgálata során a kutatók azt látták, hogy letöltötték a Facebook cookie-lopókat, amelyek lekaparják a bejelentkezési adatokat és hatékonyan lehetővé teszik a számlaátvételt, valamint a távoli hozzáférésű trójai programokat, amelyek sokféle képességgel rendelkeznek, beleértve a billentyűzet naplózását és rögzítését média a számítógép mikrofonját és fényképezőgépét használva.
Miután a betöltő felvette a kapcsolatot a C2 szervereivel, letöltött egy archív fájlt, amely tartalmazza a fertőzés következő szakaszáért felelős fájlokat. A fertőzés második szakaszát két fájl segítségével hajtják végre, amelyek egyikét appsetup.exe néven hívják. A csepegtető már hozzáadta a Windows Defender kivételeket a későbbi szakaszok hasznos terheléseihez, most az appsetup.exe gondoskodik a kitartásról, a rendszerleíró adatbázis-szerkesztések segítségével.
Egy másik, a prun.exe nevű fájl befecskendezett kódjának egy részét egy új folyamatba injektálja, amely végül kapcsolatba lép a C2 szerverekkel, és megszerzi a végső hasznos terhet.
Látva a MosaicLoader elsődleges elosztását, amikor az eredeti fertőzésvektorról van szó, a legjobb és legegyszerűbb módszer a fertőzések elkerülésére az, ha egyszerűen nem keresünk kalóz vagy feltört alkalmazásokat és játékokat.