Nuovo malware MosaicLoader utilizzato per diffondere RAT
I ricercatori di sicurezza si sono imbattuti in un malware precedentemente sconosciuto, chiamato MosaicLoader. Sta guadagnando terreno in tutto il mondo e funge da strumento di consegna malware completo, utilizzato per diffondere i ladri di cookie di Facebook e i trojan di accesso remoto.
I ricercatori hanno scoperto che MosaicLoader viene diffuso utilizzando pubblicità a pagamento che compaiono nei risultati di ricerca, principalmente rivolte a persone che cercano software crackati o altrimenti piratati, nonché giochi per computer crackati.
Questo è uno dei trucchi più vecchi del libro che esiste da secoli: la vittima scarica un file pensando che sia un crack o un eseguibile precraccato per l'applicazione o il gioco, ma in realtà è il contagocce o il downloader del malware, che la vittima esegue volontariamente sul proprio sistema.
MosaicLoader è molto flessibile perché può fornire qualsiasi payload finale di cui gli hacker potrebbero aver bisogno. Il malware acquisisce un elenco di URL dai suoi server C2, quindi procede a scaricare il payload desiderato da quei collegamenti.
Durante il periodo in cui i campioni di MosaicLoader sono stati esaminati in un ambiente di test, i ricercatori lo hanno visto scaricare i ladri di cookie di Facebook che raschiano i dettagli di accesso e possono effettivamente consentire l'acquisizione di account, nonché i trojan di accesso remoto che hanno una vasta gamma di funzionalità, tra cui keylogging e registrazione media utilizzando il microfono e la fotocamera del computer.
Una volta che il caricatore contatta i suoi server C2, scarica un file di archivio che contiene i file responsabili della fase successiva dell'infezione. La seconda fase dell'infezione viene eseguita utilizzando due file, uno dei quali si chiama appsetup.exe. Il contagocce ha già aggiunto eccezioni di Windows Defender per i payload della fase successiva, ora appsetup.exe si occupa della persistenza, utilizzando le modifiche al registro.
Un altro file chiamato prun.exe inserisce parte del suo codice offuscato in un nuovo processo che alla fine contatta i server C2 e ottiene il payload finale.
Vedendo come viene distribuito principalmente MosaicLoader, quando si tratta del vettore di infezione originale, il modo migliore e più semplice per evitare l'infezione è semplicemente non cercare applicazioni e giochi piratati e crackati.