Ny MosaicLoader Malware brukes til å spre RAT

Sikkerhetsforskere har møtt en tidligere ukjent skadelig programvare, kalt MosaicLoader. Det får grep over hele verden og fungerer som et fullt utstyrt verktøy for levering av skadelig programvare, brukt til å spre Facebook-informasjonskapsler og trojanere med ekstern tilgang.

Forskere oppdaget at MosaicLoader blir spredt ved hjelp av betalte annonser som vises i søkeresultatene, primært rettet mot folk som leter etter sprukket eller på annen måte piratkopiert programvare, samt sprukne dataspill.

Dette er et av de eldste triksene i boken som har eksistert i evigheter - offeret laster ned en fil og tenker at det er en sprekk eller en pre-sprukket kjørbar fil for applikasjonen eller spillet, men i virkeligheten er det skadelig programvare, eller offeret henretter frivillig på systemet sitt.

MosaicLoader er veldig fleksibel fordi den kan levere den endelige nyttelasten hackerne trenger. Skadelig programvare henter en liste over URL-er fra C2-serverne, og fortsetter deretter med å laste ned ønsket nyttelast fra disse koblingene.

I løpet av den tiden prøver av MosaicLoader ble undersøkt i et testmiljø, så forskere at de lastet ned Facebook-informasjonskapsler som skraper påloggingsdetaljer og effektivt kan tillate kontoovertakelser, samt trojanere med ekstern tilgang som har et bredt spekter av muligheter, inkludert nøkkellogging og opptak medier ved hjelp av datamaskinens mikrofon og kamera.

Når lasteren har kontaktet sine C2-servere, laster den ned en arkivfil som inneholder filene som er ansvarlige for neste infeksjonsstadium. Den andre infeksjonsfasen utføres ved hjelp av to filer, hvorav den ene kalles appsetup.exe. Dropperen har allerede lagt til Windows Defender-unntak for nyttelastene på senere trinn, nå tar appsetup.exe seg av vedholdenhet ved hjelp av registerredigeringer.

En annen fil kalt prun.exe injiserer noe av den forvirrede koden i en ny prosess som til slutt kontakter C2-serverne og får den endelige nyttelasten.

Å se hvordan MosaicLoader primært distribueres, når det gjelder den opprinnelige infeksjonsvektoren, er den beste og enkleste måten å unngå infeksjon å bare ikke søke etter piratkopierte og sprukne applikasjoner og spill.