Nowe złośliwe oprogramowanie MosaicLoader wykorzystywane do rozprzestrzeniania RAT
Badacze bezpieczeństwa natknęli się na nieznane wcześniej złośliwe oprogramowanie o nazwie MosaicLoader. Zyskuje na popularności na całym świecie i działa jako w pełni funkcjonalne narzędzie do dostarczania złośliwego oprogramowania, wykorzystywane do rozpowszechniania złodziei plików cookie Facebooka i trojanów zdalnego dostępu.
Badacze odkryli, że MosaicLoader rozprzestrzenia się za pomocą płatnych reklam wyświetlanych w wynikach wyszukiwania, skierowanych głównie do osób szukających złamanego lub w inny sposób pirackiego oprogramowania, a także złamanych gier komputerowych.
Jest to jedna z najstarszych sztuczek w książce, która istnieje od wieków – ofiara pobiera plik, myśląc, że jest to crack lub wstępnie złamany plik wykonywalny aplikacji lub gry, ale w rzeczywistości jest to dropper lub downloader szkodliwego oprogramowania, ofiara dobrowolnie uruchamia się w swoim systemie.
MosaicLoader jest bardzo elastyczny, ponieważ może dostarczyć dowolny ostateczny ładunek, którego mogą potrzebować hakerzy. Szkodnik pobiera listę adresów URL ze swoich serwerów C2, a następnie pobiera żądany ładunek z tych linków.
W czasie, gdy próbki MosaicLoader były badane w środowisku testowym, badacze zauważyli, że pobiera on programy typu „cookie” z Facebooka, które wykradają dane logowania i mogą skutecznie umożliwiać przejmowanie kont, a także trojany zdalnego dostępu, które mają szeroki zakres możliwości, w tym keyloggera i nagrywanie media za pomocą mikrofonu i kamery komputera.
Gdy program ładujący skontaktuje się ze swoimi serwerami C2, pobiera plik archiwum, który zawiera pliki odpowiedzialne za kolejny etap infekcji. Drugi etap infekcji odbywa się za pomocą dwóch plików, z których jeden nazywa się appsetup.exe. Dropper dodał już wyjątki Windows Defender dla ładunków na późniejszym etapie, teraz appssetup.exe dba o trwałość, używając edycji rejestru.
Inny plik o nazwie prun.exe wstrzykuje część swojego zaciemnionego kodu do nowego procesu, który ostatecznie kontaktuje się z serwerami C2 i uzyskuje ostateczną zawartość.
Biorąc pod uwagę, w jaki sposób MosaicLoader jest głównie dystrybuowany, jeśli chodzi o oryginalny wektor infekcji, najlepszym i najprostszym sposobem uniknięcia infekcji jest po prostu nie wyszukiwanie pirackich i złamanych aplikacji i gier.