用于传播 RAT 的新型 MosaicLoader 恶意软件

安全研究人员遇到了一种以前未知的恶意软件，称为 MosaicLoader。它在世界范围内越来越受欢迎，并充当功能齐全的恶意软件传送工具，用于传播 Facebook cookie 窃取程序和远程访问木马。

研究人员发现，MosaicLoader 正在使用搜索结果中显示的付费广告进行传播，主要针对寻找破解或其他盗版软件以及破解电脑游戏的人。

这是书中最古老的技巧之一，已经存在多年——受害者下载一个文件，认为它是应用程序或游戏的破解或预破解的可执行文件，但实际上它是恶意软件的投放器或下载器，它受害者自愿在他们的系统上执行。

MosaicLoader 非常灵活，因为它可以提供黑客可能需要的任何最终有效载荷。恶意软件从其 C2 服务器获取 URL 列表，然后继续从这些链接下载所需的负载。

在测试环境中检查 MosaicLoader 样本期间，研究人员发现它下载 Facebook cookie 窃取程序，这些程序可以抓取登录详细信息并可以有效地允许帐户接管，以及具有广泛功能的远程访问木马，包括键盘记录和录音媒体使用计算机的麦克风和摄像头。

一旦加载程序与其 C2 服务器联系，它就会下载一个存档文件，其中包含负责下一阶段感染的文件。感染的第二阶段使用两个文件进行，其中一个文件称为 appsetup.exe。 dropper 已经为后期有效负载添加了 Windows Defender 例外，现在 appsetup.exe 使用注册表编辑处理持久性。

另一个名为 prun.exe 的文件将其一些混淆代码注入到一个新进程中，该进程最终联系 C2 服务器并获得最终的有效负载。

看看 MosaicLoader 的主要分布方式，当谈到原始感染媒介时，避免感染的最好和最简单的方法就是不要搜索盗版和破解的应用程序和游戏。