MosaicLoader Malware

MosaicLoader Malware Descrizione

I ricercatori di infosec hanno scoperto un minaccioso caricatore di malware Windows che si sta diffondendo in tutto il mondo ed è in grado di fornire virtualmente qualsiasi payload ai sistemi compromessi. Questa piattaforma di distribuzione del malware utilizza una combinazione di diverse nuove tecniche di offuscamento che rendono estremamente difficile il rilevamento, l'analisi e il reverse engineering del codice. In pratica, il caricatore divide il suo codice in piccoli blocchi e salta tra di loro in uno schema simile a un mosaico, da qui il nome MosaicLoader dato a questa minaccia.

Il malware si diffonde tramite annunci pubblicitari a pagamento inseriti nei risultati di ricerca degli utenti. Gli annunci sembrano cercare di offrire prodotti software o giochi piratati. La minaccia si traveste da programma di installazione craccato per il prodotto. Una volta che si è infiltrato nel dispositivo dell'utente, MosaicLoader fornisce uno spruzzatore di malware in grado di fornire un'ampia gamma di payload, a seconda degli obiettivi specifici degli aggressori.

I ricercatori hanno osservato che MosaicLoader utilizza collettori di cookie di Facebook che possono esfiltrare i dati di accesso e le credenziali, consentendo agli aggressori di compromettere l'account dell'utente e quindi sfruttarlo per una serie di scopi dannosi. La minaccia è stata utilizzata anche per fornire una backdoor denominata Glupteba e diversi RAT (Trojan di accesso remoto) con funzionalità di spionaggio informatico. Attraverso i RAT, gli aggressori possono avviare routine di keylogging, registrare audio da qualsiasi microfono collegato al dispositivo compromesso, generare immagini da webcam, acquisire schermate arbitrarie e altro ancora. Tra le minacce fornite da MosaicLoader ci sono anche i cripto-minatori che possono dirottare le risorse hardware del sistema ed essere utilizzati per estrarre una criptovaluta specifica.

Dettagli MosaicLoader

Durante la fase iniziale, sul dispositivo violato viene stabilito un contagocce che imita il software legittimo. Questi contagocce di prima fase portano "numeri di versione" e icone che imitano quelli delle applicazioni legittime. In un caso osservato, il contagocce ha cercato di passare se stesso come un processo NVIDIA. Il compito principale a questo punto è recuperare un archivio ZIP contenente due file della fase successiva dal server Command-and-Control (C2, C&C). L'archivio viene prima scaricato nella cartella %TEMP% ed estratto in una cartella "PublicGaming" appena creata.

Dei due file nello ZIP, 'appsetup.exe' ha il compito di stabilire i meccanismi di persistenza del caricatore. Aggiunge un nuovo valore di registro per l'altro componente, "prun.exe", quindi si registra come servizio denominato "pubgame-updater" impostato per essere eseguito periodicamente. Ciò garantisce che anche se i valori del registro vengono eliminati, il processo verrà attivato in seguito per ricrearli.

Il prun.exe è il componente principale del malware MosaicLoader. Trasporta tutte le tecniche di offuscamento che gli consentono di dividere il suo codice in blocchi e quindi rimescolarne l'ordine in cui vengono eseguiti. Il compito principale di questo processo è raggiungere il server C2 e recuperare il componente dello spruzzatore di malware.

Una volta consegnato al sistema, lo spruzzatore di malware otterrà un elenco di URL controllati dagli aggressori e ospiterà le minacce malware finali destinate a intensificare l'attacco contro il bersaglio. Finora, gli URL rilevati sono di varia natura. Secondo i ricercatori, alcuni sono stati creati esclusivamente per ospitare malware, mentre altri sono URL Discord legittimi che puntano a file caricati su un canale pubblico. Lo spruzzatore scaricherà e quindi eseguirà i payload.