모자이크로더 악성코드

전 세계적으로 확산되고 있고 사실상 모든 페이로드를 손상된 시스템에 전달할 수 있는 위협적인 Windows 맬웨어 로더가 infosec 연구원에 의해 밝혀졌습니다. 이 맬웨어 전달 플랫폼은 코드의 탐지, 분석 및 리버스 엔지니어링을 극도로 어렵게 만드는 몇 가지 새로운 난독화 기술의 조합을 사용합니다. 실제로 로더는 코드를 작은 덩어리로 분할하고 모자이크와 같은 패턴으로 그 사이를 이동하므로 이 위협에 MosaicLoader 이름이 지정됩니다.

악성코드는 사용자의 검색 결과에 삽입된 유료 광고를 통해 확산됩니다. 광고가 불법 복제 소프트웨어 제품이나 게임을 제공하려는 것으로 보입니다. 위협 요소는 해당 제품의 금이 간 설치 프로그램으로 위장합니다. 사용자의 기기에 침투한 후 MosaicLoader는 공격자의 특정 목표에 따라 광범위한 페이로드를 전달할 수 있는 멀웨어 스프레이어를 제공합니다.

연구원들은 MosaicLoader가 로그인 데이터와 자격 증명을 빼낼 수 있는 Facebook 쿠키 수집기를 배포하여 공격자가 사용자 계정을 손상시킨 다음 다양한 악의적인 목적으로 이를 악용할 수 있도록 하는 것을 관찰했습니다. 이 위협은 또한 Glupteba 라는 백도어와 사이버 스파이 기능을 갖춘 여러 RAT(원격 액세스 트로이 목마)를 전달하는 데 사용되었습니다. RAT를 통해 공격자는 키로깅 루틴을 시작하고 손상된 장치에 연결된 모든 마이크의 오디오를 녹음하고 웹캠에서 이미지를 생성하고 임의의 스크린샷을 찍는 등의 작업을 수행할 수 있습니다. MosaicLoader가 제공하는 위협 중에는 시스템의 하드웨어 리소스를 가로채고 특정 암호화폐를 채굴하는 데 사용할 수 있는 크립토 마이너도 있습니다.

모자이크 로더 세부 정보

초기 단계에서 합법적인 소프트웨어를 모방한 드로퍼가 침해된 장치에 설정됩니다. 이러한 1단계 드로퍼에는 합법적인 애플리케이션을 모방한 '버전 번호'와 아이콘이 있습니다. 관찰된 한 사례에서 드로퍼는 자신을 NVIDIA 프로세스로 전달하려고 했습니다. 이 시점에서 주요 작업은 Command-and-Control(C2, C&C) 서버에서 두 개의 다음 단계 파일을 포함하는 ZIP 아카이브를 가져오는 것입니다. 아카이브는 먼저 %TEMP% 폴더에 다운로드되고 새로 생성된 'PublicGaming' 폴더에 압축이 풀립니다.

ZIP에 있는 두 파일 중 'appsetup.exe'는 로더의 지속성 메커니즘을 설정하는 역할을 합니다. 다른 구성 요소인 'prun.exe'에 대한 새 레지스트리 값을 추가한 다음 주기적으로 실행되도록 설정된 'pubgame-updater'라는 서비스로 자신을 등록합니다. 이렇게 하면 레지스트리 값이 삭제되더라도 나중에 다시 생성하기 위해 프로세스가 활성화됩니다.

prun.exe는 MosaicLoader 악성코드의 주요 구성 요소입니다. 코드를 청크로 분할한 다음 실행 순서를 뒤섞을 수 있는 모든 난독화 기술을 제공합니다. 이 프로세스의 핵심 작업은 C2 서버에 접근하여 악성코드 분무기 구성요소를 가져오는 것입니다.

시스템에 전달되면 맬웨어 스프레이어는 공격자가 제어하는 URL 목록을 얻고 대상에 대한 공격을 확대하기 위한 최종 맬웨어 위협을 호스팅합니다. 지금까지 감지된 URL은 본질적으로 다양합니다. 연구원에 따르면 일부는 맬웨어를 호스팅하기 위해 만들어졌고 다른 일부는 공개 채널에 업로드된 파일을 가리키는 합법적인 Discord URL입니다. 분무기가 페이로드를 다운로드한 다음 실행합니다.