用於傳播 RAT 的新型 MosaicLoader 惡意軟件
安全研究人員遇到了一種以前未知的惡意軟件,稱為 MosaicLoader。它在世界範圍內越來越受歡迎,並充當功能齊全的惡意軟件傳送工具,用於傳播 Facebook cookie 竊取程序和遠程訪問木馬。
研究人員發現,MosaicLoader 正在使用搜索結果中顯示的付費廣告進行傳播,主要針對尋找破解或其他盜版軟件以及破解電腦遊戲的人。
這是書中最古老的技巧之一,已經存在多年——受害者下載一個文件,認為它是應用程序或遊戲的破解或預破解的可執行文件,但實際上它是惡意軟件的投放器或下載器,它受害者自願在他們的系統上執行。
MosaicLoader 非常靈活,因為它可以提供黑客可能需要的任何最終有效載荷。惡意軟件從其 C2 服務器獲取 URL 列表,然後繼續從這些鏈接下載所需的負載。
在測試環境中檢查 MosaicLoader 樣本期間,研究人員發現它下載 Facebook cookie 竊取程序,這些程序可以抓取登錄詳細信息並可以有效地允許帳戶接管,以及具有廣泛功能的遠程訪問木馬,包括鍵盤記錄和錄音媒體使用計算機的麥克風和攝像頭。
一旦加載程序與其 C2 服務器聯繫,它就會下載一個存檔文件,其中包含負責下一階段感染的文件。感染的第二階段使用兩個文件進行,其中一個文件稱為 appsetup.exe。 dropper 已經為後期有效負載添加了 Windows Defender 例外,現在 appsetup.exe 使用註冊表編輯處理持久性。
另一個名為 prun.exe 的文件將其一些混淆代碼注入到一個新進程中,該進程最終聯繫 C2 服務器並獲得最終的有效負載。
看看 MosaicLoader 的主要分佈方式,當談到原始感染媒介時,避免感染的最好和最簡單的方法就是不要搜索盜版和破解的應用程序和遊戲。