MosaicLoader Malware

En truende Windows-malware-loader, der spredes over hele verden og er i stand til at levere enhver nyttelast til de kompromitterede systemer, er næsten blevet afdækket af infosec-forskerne. Denne leveringsplatform til malware anvender en kombination af adskillige nye tiltrækningsteknikker, der gør detektering, analyse og reverse engineering af koden ekstremt vanskelig. I praksis deler læsseren sin kode i små bidder og hopper rundt imellem dem i et mosaiklignende mønster, deraf navnet MosaicLoader, der er givet denne trussel.

Malware spreder sig via betalte reklamer, der injiceres i brugernes søgeresultater. Annoncerne ser ud til at forsøge at tilbyde piratkopierede softwareprodukter eller spil. Truslen forklæder sig som et revnet installationsprogram for produktet. Når den har infiltreret brugerens enhed, leverer MosaicLoader en malware-sprøjte, der er i stand til at levere en bred vifte af nyttelast, afhængigt af angribernes specifikke mål.

Forskere har observeret MosaicLoader, der implementerer Facebook-cookie-samlere, der kan exfiltrere login-data og legitimationsoplysninger, så angriberne kan kompromittere brugerens konto og derefter udnytte dem til en række ondsindede formål. Truslen er også blevet brugt til at levere en bagdør ved navn Glupteba samt flere RAT (Remote Access Trojans) med cyberspioneringsfunktioner. Gennem RAT'erne kan angriberne starte keylogging-rutiner, optage lyd fra enhver mikrofon, der er tilsluttet den kompromitterede enhed, generere billeder fra webkameraer, tage vilkårlige skærmbilleder og mere. Blandt truslen fra MosaicLoader er også crypto-minearbejdere, der kan kapre systemets hardwarressourcer og bruges til at udvinde til en bestemt kryptokurrency.

MosaicLoader Detaljer

I den indledende fase oprettes en dropper, der efterligner legitim software, på den brudte enhed. Disse første trin droppers bærer 'version numre' og ikoner, der efterligner dem af legitime applikationer. I et observeret tilfælde forsøgte dropperen at passere sig selv som en NVIDIA-proces. Hovedopgaven på dette tidspunkt er at hente et ZIP-arkiv, der indeholder to næste trin filer fra Command-and-Control (C2, C&C) serveren. Arkivet downloades først til mappen% TEMP% og ekstraheres i en nyoprettet 'PublicGaming' mappe.

Af de to filer i ZIP har 'appsetup.exe' til opgave at etablere loaderens vedholdenhedsmekanismer. Det tilføjer en ny registreringsværdi for den anden komponent - 'prun.exe' og registrerer sig selv som en tjeneste ved navn 'pubgame-updater', der er indstillet til at køre med jævne mellemrum. Dette gør det muligt, at selvom registreringsdatabaseværdierne slettes, aktiveres processen bagefter for at genskabe dem.

Prun.exe er hovedkomponenten i MosaicLoader-malware. Den bærer alle tilslørede teknikker, der gør det muligt for den at opdele koden i klumper og derefter kryptere rækkefølgen, i hvilken de udføres. Den centrale opgave ved denne proces er at nå ud til C2-serveren og hente malware-sprøjtekomponenten.

Når den er leveret til systemet, får malware-sprøjten en liste over URL'er, der kontrolleres af angriberne, og er vært for endelige malware-trusler, der er beregnet til at eskalere angrebet mod målet. Indtil videre er de opdagede webadresser forskellige. Ifølge forskerne blev nogle oprettet til kun at være vært for malware, mens andre er legitime Discord-URL'er, der peger på filer, der er uploadet til en offentlig kanal. Sprøjten downloader og udfører derefter nyttelastene.