MosaicLoader Malware

MosaicLoader Malware Beschrijving

De infosec-onderzoekers hebben een bedreigende Windows-malwarelader ontdekt die zich wereldwijd verspreidt en in staat is om elke payload virtueel naar de gecompromitteerde systemen te brengen. Dit malware-afleveringsplatform maakt gebruik van een combinatie van verschillende nieuwe verduisteringstechnieken die detectie, analyse en reverse-engineering van de code extreem moeilijk maken. In de praktijk splitst de loader zijn code op in kleine stukjes en springt ertussen in een mozaïekachtig patroon, vandaar de naam MosaicLoader die aan deze dreiging is gegeven.

De malware verspreidt zich via betaalde advertenties die in de zoekresultaten van gebruikers worden geïnjecteerd. De advertenties lijken illegale softwareproducten of games aan te bieden. De dreiging vermomt zich als een gekraakt installatieprogramma voor het product. Zodra het het apparaat van de gebruiker heeft geïnfiltreerd, levert MosaicLoader een malware-sprayer die een breed scala aan nuttige ladingen kan leveren, afhankelijk van de specifieke doelen van de aanvallers.

Onderzoekers hebben waargenomen dat MosaicLoader Facebook-cookieverzamelaars inzet die inloggegevens en inloggegevens kunnen exfiltreren, waardoor de aanvallers het account van de gebruiker kunnen compromitteren en deze vervolgens kunnen misbruiken voor verschillende kwaadaardige doeleinden. De dreiging is ook gebruikt om een achterdeur met de naam Glupteba te leveren, evenals verschillende RAT (Remote Access Trojans) met cyberspionagemogelijkheden. Via de RAT's kunnen de aanvallers keylogging-routines starten, audio opnemen van elke microfoon die is aangesloten op het gecompromitteerde apparaat, afbeeldingen genereren van webcams, willekeurige screenshots maken en meer. Onder de bedreiging die door MosaicLoader wordt geleverd, bevinden zich ook crypto-mijnwerkers die de hardwarebronnen van het systeem kunnen kapen en worden gebruikt om te minen voor een specifieke cryptocurrency.

Details mozaïeklader

Tijdens de beginfase wordt een druppelaar die legitieme software nabootst, op het geschonden apparaat geplaatst. Deze droppers van de eerste fase bevatten 'versienummers' en pictogrammen die die van legitieme applicaties imiteren. In één waargenomen geval probeerde de druppelaar zichzelf door te geven als een NVIDIA-proces. De belangrijkste taak op dit punt is het ophalen van een ZIP-archief met twee bestanden van de volgende fase van de Command-and-Control (C2, C&C)-server. Het archief wordt eerst gedownload naar de map %TEMP% en uitgepakt in een nieuw aangemaakte map 'PublicGaming'.

Van de twee bestanden in de ZIP is 'appsetup.exe' belast met het vaststellen van de persistentiemechanismen van de loader. Het voegt een nieuwe registerwaarde toe voor het andere onderdeel - 'prun.exe' en registreert zichzelf vervolgens als een service met de naam 'pubgame-updater' die is ingesteld om periodiek te worden uitgevoerd. Hierdoor zorgt u ervoor dat, zelfs als de registerwaarden worden verwijderd, het proces daarna wordt geactiveerd om ze opnieuw te maken.

De prun.exe is het belangrijkste onderdeel van de MosaicLoader-malware. Het bevat alle verduisteringstechnieken waarmee het zijn code in brokken kan splitsen en vervolgens de volgorde waarin ze worden uitgevoerd door elkaar gooien. De kerntaak van dit proces is om contact op te nemen met de C2-server en de malware-sprayercomponent op te halen.

Eenmaal aan het systeem geleverd, verkrijgt de malwaresprayer een lijst met URL's die worden beheerd door de aanvallers en host hij definitieve malwarebedreigingen die bedoeld zijn om de aanval op het doelwit te escaleren. Tot nu toe zijn de gedetecteerde URL's verschillend van aard. Volgens de onderzoekers zijn sommige gemaakt om alleen malware te hosten, terwijl andere legitieme Discord-URL's zijn die verwijzen naar bestanden die naar een openbaar kanaal zijn geüpload. De veldspuit zal de payloads downloaden en vervolgens uitvoeren.