RATの拡散に使用される新しいMosaicLoaderマルウェア
セキュリティ研究者は、MosaicLoaderと呼ばれるこれまで知られていなかったマルウェアに遭遇しました。これは世界中で注目を集めており、FacebookのCookieスティーラーやリモートアクセストロイの木馬を広めるために使用される、フル機能のマルウェア配信ツールとして機能します。
研究者は、MosaicLoaderが検索結果に表示される有料広告を使用して拡散していることを発見しました。主に、クラックされたソフトウェアや海賊版ソフトウェア、およびクラックされたコンピュータゲームを探している人々を対象としています。
これは、何年も前から存在している本の中で最も古いトリックの1つです。被害者は、アプリケーションまたはゲームのクラックまたは事前にクラックされた実行可能ファイルであると考えてファイルをダウンロードしますが、実際には、マルウェアのドロッパーまたはダウンローダーです。被害者は自分のシステムで自発的に実行します。
MosaicLoaderは、ハッカーが必要とする可能性のある最終的なペイロードを配信できるため、非常に柔軟性があります。マルウェアはC2サーバーからURLのリストを取得し、それらのリンクから目的のペイロードをダウンロードします。
MosaicLoaderのサンプルがテスト環境で調査されている間、研究者は、ログインの詳細を取得してアカウントの乗っ取りを効果的に可能にするFacebookのCookieスティーラーや、キーロガーや記録などの幅広い機能を備えたリモートアクセス型トロイの木馬をダウンロードしていることを確認しました。コンピューターのマイクとカメラを使用したメディア。
ローダーがC2サーバーに接続すると、感染の次の段階に関与するファイルを含むアーカイブファイルをダウンロードします。感染の第2段階は、2つのファイルを使用して実行されます。そのうちの1つはappsetup.exeと呼ばれます。ドロッパーは、後の段階のペイロードに対してWindows Defenderの例外を既に追加しており、レジストリの編集を使用して、appsetup.exeが永続性を処理するようになりました。
prun.exeと呼ばれる別のファイルは、難読化されたコードの一部を新しいプロセスに挿入し、最終的にC2サーバーに接続して、最終的なペイロードを取得します。
MosaicLoaderが主にどのように配布されているかを見ると、元の感染ベクトルに関して言えば、感染を回避するための最善かつ最も簡単な方法は、海賊版やクラックされたアプリケーションやゲームを検索しないことです。