Nieuwe MosaicLoader-malware gebruikt om RAT's te verspreiden
Beveiligingsonderzoekers zijn een voorheen onbekende malware tegengekomen, MosaicLoader genaamd. Het wint aan populariteit over de hele wereld en fungeert als een volledig uitgeruste malware-afleveringstool, die wordt gebruikt om Facebook-cookie-stealers en trojans voor externe toegang te verspreiden.
Onderzoekers ontdekten dat MosaicLoader wordt verspreid met behulp van betaalde advertenties die in de zoekresultaten verschijnen, voornamelijk gericht op mensen die op zoek zijn naar gekraakte of anderszins illegale software, evenals gekraakte computerspellen.
Dit is een van de oudste trucs in het boek die al eeuwen bestaat: het slachtoffer downloadt een bestand in de veronderstelling dat het een crack of een vooraf gekraakt uitvoerbaar bestand is voor de applicatie of game, maar in werkelijkheid is het de dropper of downloader van de malware die het slachtoffer voert vrijwillig uit op hun systeem.
MosaicLoader is erg flexibel omdat het elke uiteindelijke lading kan leveren die hackers nodig hebben. De malware haalt een lijst met URL's van zijn C2-servers en gaat vervolgens verder met het downloaden van de gewenste payload van die links.
Gedurende de tijd dat voorbeelden van MosaicLoader in een testomgeving werden onderzocht, zagen onderzoekers dat het Facebook-cookie-stealers downloadde die inloggegevens schrapen en effectief accountovernames mogelijk maken, evenals trojans voor externe toegang die een breed scala aan mogelijkheden hebben, waaronder keylogging en opname media met behulp van de microfoon en camera van de computer.
Zodra de loader contact maakt met zijn C2-servers, downloadt hij een archiefbestand dat de bestanden bevat die verantwoordelijk zijn voor de volgende infectiefase. De tweede infectiefase wordt uitgevoerd met behulp van twee bestanden, waarvan er één appsetup.exe wordt genoemd. De dropper heeft al Windows Defender-uitzonderingen toegevoegd voor de payloads in een later stadium, nu zorgt appsetup.exe voor persistentie, met behulp van registerbewerkingen.
Een ander bestand genaamd prun.exe injecteert een deel van zijn versluierde code in een nieuw proces dat uiteindelijk contact maakt met de C2-servers en de uiteindelijke payload verkrijgt.
Als je ziet hoe MosaicLoader voornamelijk wordt gedistribueerd, als het gaat om de oorspronkelijke infectievector, is de beste en eenvoudigste manier om infectie te voorkomen, simpelweg niet te zoeken naar illegale en gekraakte applicaties en games.