Новое вредоносное ПО MosaicLoader, используемое для распространения RAT

Исследователи безопасности столкнулись с ранее неизвестным вредоносным ПО под названием MosaicLoader. Он набирает популярность во всем мире и действует как полнофункциональный инструмент доставки вредоносных программ, используемый для распространения кражи файлов cookie Facebook и троянов удаленного доступа.

Исследователи обнаружили, что MosaicLoader распространяется с помощью платной рекламы, отображаемой в результатах поиска, и в первую очередь ориентирован на людей, которые ищут взломанное или иным образом пиратское программное обеспечение, а также взломанные компьютерные игры.

Это один из самых старых приемов в книге, который существует уже много лет: жертва загружает файл, думая, что это крэк или предварительно взломанный исполняемый файл для приложения или игры, но на самом деле это дроппер или загрузчик вредоносного ПО, который жертва добровольно выполняет в своей системе.

MosaicLoader очень гибкий, потому что он может доставить любую конечную полезную нагрузку, которая может понадобиться хакерам. Вредоносная программа получает список URL-адресов со своих серверов C2, а затем приступает к загрузке желаемой полезной нагрузки по этим ссылкам.

В ходе тестирования образцов MosaicLoader в тестовой среде исследователи увидели, что он загружает программы для кражи файлов cookie Facebook, которые очищают данные для входа в систему и могут эффективно обеспечивать захват учетных записей, а также трояны удаленного доступа, которые обладают широким спектром возможностей, включая ведение журналов и запись мультимедиа с помощью микрофона и камеры компьютера.

Как только загрузчик связывается со своими серверами C2, он загружает архивный файл, содержащий файлы, ответственные за следующую стадию заражения. Второй этап заражения осуществляется с помощью двух файлов, один из которых называется appsetup.exe. Дроппер уже добавил исключения Защитника Windows для полезных нагрузок более позднего уровня, теперь appsetup.exe заботится о сохранении, используя правки реестра.

Другой файл под названием prun.exe вводит часть своего запутанного кода в новый процесс, который, наконец, связывается с серверами C2 и получает окончательную полезную нагрузку.

Видя, как в основном распространяется MosaicLoader, когда дело доходит до исходного вектора заражения, лучший и самый простой способ избежать заражения - просто не искать пиратские и взломанные приложения и игры.