Nauja kenkėjiška programa „MosaicLoader“ naudojama RAT platinti
Saugumo tyrėjai įkūrė anksčiau nežinomą kenkėjišką programą, vadinamą „MosaicLoader“. Jis vis labiau traukiasi visame pasaulyje ir veikia kaip visapusiškas kenkėjiškų programų pristatymo įrankis, naudojamas „Facebook“ slapukų vagystėms ir nuotolinės prieigos trojiečiams platinti.
Tyrėjai atrado, kad „MosaicLoader“ yra platinamas naudojant mokamus skelbimus, rodomus paieškos rezultatuose, pirmiausia skirtus žmonėms, ieškantiems įskilusios ar kitaip piratinės programinės įrangos, taip pat įskilusių kompiuterinių žaidimų.
Tai yra vienas iš seniausių knygos gudrybių, kuris egzistuoja per amžius - auka atsisiunčia failą manydama, kad tai yra programos ar žaidimo įtrūkimas arba iš anksto nulaužtas vykdomasis failas, tačiau iš tikrųjų tai yra kenkėjiškos programos lašintuvas ar atsisiuntėjas, kuris auka savanoriškai vykdo savo sistemą.
„MosaicLoader“ yra labai lanksti, nes gali pristatyti bet kokį įsilaužėlių galimą naudingąjį krūvį. Kenkėjiška programa sugriebia URL sąrašą iš savo C2 serverių, tada atsisiunčia norimą naudingąją apkrovą iš tų nuorodų.
Tuo metu, kai bandymų aplinkoje buvo ištirti „MosaicLoader“ pavyzdžiai, mokslininkai matė, kaip ji atsisiuntė „Facebook“ slapukų vogiklius, kurie nuskaido prisijungimo duomenis ir gali efektyviai leisti perimti paskyras, taip pat nuotolinės prieigos trojos arklius, turinčius daugybę galimybių, įskaitant klavišų užrašymą ir įrašymą. laikmeną naudodamas kompiuterio mikrofoną ir kamerą.
Kai krautuvas susisiekia su savo C2 serveriais, jis atsisiunčia archyvo failą, kuriame yra failai, atsakingi už kitą infekcijos etapą. Antrasis infekcijos etapas atliekamas naudojant du failus, vienas iš jų vadinamas appsetup.exe. Lašintuvas jau pridėjo „Windows Defender“ išimčių vėlesnės pakopos apkrovoms, dabar „appsetup.exe“ rūpinasi atkaklumu, naudodama registro redagavimus.
Kitas failas, vadinamas prun.exe, įpurškia tam tikrą užterštą kodą į naują procesą, kuris pagaliau susisiekia su C2 serveriais ir gauna galutinę naudingąją apkrovą.
Pažiūrėjus, kaip pirmiausia platinamas „MosaicLoader“, kalbant apie pradinį infekcijos pernešėją, geriausias ir paprasčiausias būdas išvengti infekcijos yra tiesiog neieškoti piratinių ir nulaužtų programų bei žaidimų.
