Ny MosaicLoader Malware används för att sprida RAT
Säkerhetsforskare har stött på en tidigare okänd skadlig kod, kallad MosaicLoader. Det får dragkraft över hela världen och fungerar som ett fullt utrustat leveransverktyg för skadlig kod, som används för att sprida Facebook-stjälare och fjärråtkomsttrojaner.
Forskare upptäckte att MosaicLoader sprids med betalda annonser som visas i sökresultaten, främst riktade till personer som letar efter sprucken eller på annat sätt piratkopierad programvara, samt spruckna datorspel.
Detta är ett av de äldsta knep i boken som har funnits i åldrar - offret laddar ner en fil som tror att det är en spricka eller en förknäckt körbar för applikationen eller spelet, men i själva verket är det skadlig programvarans dropper eller nedladdare offret frivilligt utför i sitt system.
MosaicLoader är mycket flexibel eftersom den kan leverera den slutliga nyttolast som hackarna kan behöva. Skadlig programvara tar en lista över webbadresser från sina C2-servrar och fortsätter sedan med att ladda ner önskad nyttolast från dessa länkar.
Under tiden som prover av MosaicLoader undersöktes i en testmiljö såg forskare att man laddade ner Facebook-cookie-stjälare som skrapade inloggningsuppgifter och effektivt kan möjliggöra kontoövertagningar samt fjärråtkomsttrojaner som har ett brett spektrum av funktioner, inklusive keylogging och inspelning. media med datorns mikrofon och kamera.
När laddaren kontaktar sina C2-servrar laddar den ner en arkivfil som innehåller de filer som är ansvariga för nästa infektionsfas. Det andra infektionssteget utförs med två filer, varav en kallas appsetup.exe. Dropparen har redan lagt till undantag för Windows Defender för nyttolasten i senare skede, nu tar appsetup.exe hand om uthållighet med hjälp av registerredigeringar.
En annan fil som heter prun.exe injicerar en del av sin fördunklade kod i en ny process som äntligen kommer i kontakt med C2-servrarna och får den slutliga nyttolasten.
Att se hur MosaicLoader främst distribueras, när det gäller den ursprungliga infektionsvektorn, är det bästa och enklaste sättet att undvika infektion att helt enkelt inte söka efter piratkopierade och knäckta applikationer och spel.
