Új MosaicLoader kártevő program, amelyet RAT-ok terjesztésére használnak

A biztonsági kutatók egy korábban ismeretlen kártevővel futottak össze, a MosaicLoader néven. Világszerte vonzóbbá válik, és teljes körűen kártevő-szállító eszközként működik, amelyet a Facebook cookie-lopók és távoli hozzáférésű trójaiak terjesztésére használnak.

A kutatók felfedezték, hogy a MosaicLoader olyan fizetett hirdetések segítségével terjed, amelyek a keresési eredmények között jelennek meg, elsősorban azokat, akik repedt vagy más módon kalóz szoftvereket, valamint repedezett számítógépes játékokat keresnek.

Ez az egyik legrégebbi trükk a könyvben, amely már évek óta létezik - az áldozat letölti a fájlt, úgy gondolva, hogy ez egy repedés vagy egy előre feltört futtatható fájl az alkalmazáshoz vagy a játékhoz, de a valóságban ez a kártevő cseppentője vagy letöltője az áldozat önként végrehajtja a rendszerét.

A MosaicLoader nagyon rugalmas, mert a hackerek számára szükséges végső hasznos terhet képes szállítani. A rosszindulatú program megkapja az URL-ek listáját C2 szervereiről, majd letölti a kívánt hasznos terhet ezekből a hivatkozásokból.

A MosaicLoader mintáinak tesztelési környezetben történő vizsgálata során a kutatók azt látták, hogy letöltötték a Facebook cookie-lopókat, amelyek lekaparják a bejelentkezési adatokat és hatékonyan lehetővé teszik a számlaátvételt, valamint a távoli hozzáférésű trójai programokat, amelyek sokféle képességgel rendelkeznek, beleértve a billentyűzet naplózását és rögzítését média a számítógép mikrofonját és fényképezőgépét használva.

Miután a betöltő felvette a kapcsolatot a C2 szervereivel, letöltött egy archív fájlt, amely tartalmazza a fertőzés következő szakaszáért felelős fájlokat. A fertőzés második szakaszát két fájl segítségével hajtják végre, amelyek egyikét appsetup.exe néven hívják. A csepegtető már hozzáadta a Windows Defender kivételeket a későbbi szakaszok hasznos terheléseihez, most az appsetup.exe gondoskodik a kitartásról, a rendszerleíró adatbázis-szerkesztések segítségével.

Egy másik, a prun.exe nevű fájl befecskendezett kódjának egy részét egy új folyamatba injektálja, amely végül kapcsolatba lép a C2 szerverekkel, és megszerzi a végső hasznos terhet.

Látva a MosaicLoader elsődleges elosztását, amikor az eredeti fertőzésvektorról van szó, a legjobb és legegyszerűbb módszer a fertőzések elkerülésére az, ha egyszerűen nem keresünk kalóz vagy feltört alkalmazásokat és játékokat.