MosaicLoader Malware
एक खतरनाक विंडोज मैलवेयर लोडर जो दुनिया भर में फैल रहा है और समझौता किए गए सिस्टम को किसी भी पेलोड को वितरित करने में सक्षम है, वस्तुतः, इन्फोसेक शोधकर्ताओं द्वारा उजागर किया गया है। यह मैलवेयर डिलीवरी प्लेटफ़ॉर्म कई नई ओफ़्फ़ुसेशन तकनीकों के संयोजन को नियोजित करता है जो कोड का पता लगाना, विश्लेषण करना और रिवर्स-इंजीनियरिंग को बेहद कठिन बना देता है। व्यवहार में, लोडर अपने कोड को छोटे टुकड़ों में विभाजित करता है और मोज़ेक जैसे पैटर्न में उनके बीच कूदता है, इसलिए इस खतरे को मोज़ेक लोडर नाम दिया गया है।
मैलवेयर उपयोगकर्ताओं के खोज परिणामों में भुगतान किए गए विज्ञापनों के माध्यम से फैलता है। ऐसा लगता है कि विज्ञापन पायरेटेड सॉफ़्टवेयर उत्पादों या गेम की पेशकश करने की कोशिश कर रहे हैं। खतरा उत्पाद के लिए एक फटा इंस्टॉलर के रूप में खुद को प्रच्छन्न करता है। एक बार जब यह उपयोगकर्ता के डिवाइस में घुसपैठ कर लेता है, तो MosaicLoader एक मैलवेयर स्प्रेयर वितरित करता है जो हमलावरों के विशिष्ट लक्ष्यों के आधार पर पेलोड की एक विस्तृत श्रृंखला वितरित करने में सक्षम होता है।
शोधकर्ताओं ने MosaicLoader को Facebook कुकी संग्राहकों को तैनात करते हुए देखा है जो लॉगिन डेटा और क्रेडेंशियल्स को बाहर निकाल सकते हैं, जिससे हमलावर उपयोगकर्ता के खाते से समझौता कर सकते हैं और फिर विभिन्न प्रकार के दुर्भावनापूर्ण उद्देश्यों के लिए इसका फायदा उठा सकते हैं। खतरा भी नाम के एक पिछले दरवाजे वितरित करने के लिए इस्तेमाल किया गया है Glupteba cyberespionage क्षमताओं के साथ, साथ ही साथ कई चूहे (रिमोट एक्सेस ट्रोजन)। आरएटी के माध्यम से, हमलावर कीलॉगिंग रूटीन शुरू कर सकते हैं, छेड़छाड़ किए गए डिवाइस से जुड़े किसी भी माइक्रोफ़ोन से ऑडियो रिकॉर्ड कर सकते हैं, वेबकैम से छवियां उत्पन्न कर सकते हैं, मनमाने ढंग से स्क्रीनशॉट ले सकते हैं और बहुत कुछ कर सकते हैं। MosaicLoader द्वारा दिए गए खतरों में क्रिप्टो-खनिक भी हैं जो सिस्टम के हार्डवेयर संसाधनों को हाईजैक कर सकते हैं और एक विशिष्ट क्रिप्टोकरेंसी के लिए मेरा उपयोग किया जा सकता है।
मोज़ेक लोडर विवरण
प्रारंभिक चरण के दौरान, भंग डिवाइस पर वैध सॉफ़्टवेयर की नकल करने वाला ड्रॉपर स्थापित किया जाता है। ये प्रथम-चरण ड्रॉपर 'संस्करण संख्या' और वैध अनुप्रयोगों की नकल करने वाले चिह्न ले जाते हैं। एक देखे गए उदाहरण में, ड्रॉपर ने खुद को एक NVIDIA प्रक्रिया के रूप में पारित करने का प्रयास किया। इस बिंदु पर मुख्य कार्य एक ज़िप संग्रह प्राप्त करना है जिसमें कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर से दो अगले चरण की फाइलें हैं। संग्रह को पहले %TEMP% फ़ोल्डर में डाउनलोड किया जाता है और एक नए बनाए गए 'PublicGaming' फ़ोल्डर में निकाला जाता है।
ज़िप में दो फाइलों में से, 'appsetup.exe' को लोडर के दृढ़ता तंत्र को स्थापित करने का काम सौंपा गया है। यह अन्य घटक - 'prun.exe' के लिए एक नया रजिस्ट्री मान जोड़ता है और फिर खुद को 'पबगेम-अपडेटर' नाम की एक सेवा के रूप में पंजीकृत करता है जो समय-समय पर चलने के लिए निर्धारित है। ऐसा करने से यह सुनिश्चित होता है कि भले ही रजिस्ट्री मान हटा दिए गए हों, फिर भी उन्हें फिर से बनाने के लिए प्रक्रिया सक्रिय हो जाएगी।
prun.exe MosaicLoader मैलवेयर का मुख्य घटक है। इसमें सभी ऑबफसकेशन तकनीकें हैं जो इसे अपने कोड को विखंडू में विभाजित करने की अनुमति देती हैं और फिर उस क्रम में हाथापाई करती हैं जिसमें उन्हें निष्पादित किया जाता है। इस प्रक्रिया का मुख्य कार्य C2 सर्वर तक पहुंचना और मैलवेयर स्प्रेयर घटक लाना है।
एक बार सिस्टम में डिलीवर हो जाने पर, मैलवेयर स्प्रेयर हमलावरों द्वारा नियंत्रित URL की एक सूची प्राप्त करेगा और लक्ष्य के विरुद्ध हमले को बढ़ाने के उद्देश्य से अंतिम मैलवेयर खतरों को होस्ट करेगा। अब तक, खोजे गए URL प्रकृति में विविध हैं। शोधकर्ताओं के अनुसार, कुछ को केवल मैलवेयर होस्ट करने के लिए बनाया गया था, जबकि अन्य वैध डिस्कॉर्ड URL हैं जो एक सार्वजनिक चैनल पर अपलोड की गई फ़ाइलों की ओर इशारा करते हैं। स्प्रेयर डाउनलोड करेगा और फिर पेलोड को निष्पादित करेगा।
