MosaicLoader Malware
Badacze z infosec odkryli groźny program ładujący złośliwe oprogramowanie dla systemu Windows, który rozprzestrzenia się na całym świecie i jest w stanie dostarczyć dowolny ładunek do zaatakowanych systemów, wirtualnie. Ta platforma dostarczania szkodliwego oprogramowania wykorzystuje kombinację kilku nowatorskich technik zaciemniania, które niezwykle utrudniają wykrywanie, analizę i inżynierię wsteczną kodu. W praktyce moduł ładujący dzieli swój kod na małe kawałki i przeskakuje między nimi w sposób przypominający mozaikę, stąd nazwa MosaicLoader nadana temu zagrożeniu.
Szkodnik rozprzestrzenia się za pośrednictwem płatnych reklam umieszczanych w wynikach wyszukiwania użytkowników. Wydaje się, że reklamy mają na celu oferowanie pirackiego oprogramowania lub gier. Zagrożenie podszywa się pod pęknięty instalator produktu. Po przeniknięciu do urządzenia użytkownika MosaicLoader dostarcza narzędzie do rozpylania złośliwego oprogramowania zdolne do dostarczania szerokiej gamy ładunków, w zależności od konkretnych celów atakujących.
Badacze zaobserwowali, że MosaicLoader wdraża kolektory plików cookie Facebooka, które mogą eksfiltrować dane logowania i dane uwierzytelniające, umożliwiając atakującym złamanie zabezpieczeń konta użytkownika, a następnie wykorzystanie go do różnych złośliwych celów. Zagrożenie zostało również wykorzystane do dostarczenia backdoora o nazwie Glupteba, a także kilku RAT (trojanów zdalnego dostępu) z możliwościami cyberszpiegostwa. Za pomocą RAT atakujący mogą inicjować procedury rejestrowania klawiszy, nagrywać dźwięk z dowolnego mikrofonu podłączonego do zaatakowanego urządzenia, generować obrazy z kamer internetowych, wykonywać dowolne zrzuty ekranu i nie tylko. Wśród zagrożeń dostarczanych przez MosaicLoader znajdują się również krypto-kopacze, które mogą przejąć zasoby sprzętowe systemu i zostać użyte do wydobycia określonej kryptowaluty.
MosaicLoader Szczegóły
Na początkowym etapie na złamanym urządzeniu zostaje zainstalowany dropper podszywający się pod legalne oprogramowanie. Te droppery pierwszego etapu zawierają „numery wersji" i ikony imitujące te z legalnych aplikacji. W jednym z zaobserwowanych przypadków dropper próbował uchodzić za proces NVIDIA. Głównym zadaniem w tym momencie jest pobranie archiwum ZIP zawierającego dwa pliki następnego etapu z serwera Command-and-Control (C2, C&C). Archiwum jest najpierw pobierane do folderu %TEMP% i rozpakowywane w nowo utworzonym folderze „PublicGaming".
Spośród dwóch plików w ZIP, 'appsetup.exe' ma za zadanie ustalić mechanizmy trwałości programu ładującego. Dodaje nową wartość rejestru dla drugiego składnika — „prun.exe", a następnie rejestruje się jako usługa o nazwie „pubgame-updater", która jest uruchamiana okresowo. Dzięki temu nawet jeśli wartości rejestru zostaną usunięte, proces zostanie później aktywowany w celu ich odtworzenia.
Prun.exe jest głównym składnikiem złośliwego oprogramowania MosaicLoader. Zawiera wszystkie techniki zaciemniania, które pozwalają mu podzielić kod na kawałki, a następnie zaszyfrować kolejność, w jakiej są wykonywane. Podstawowym zadaniem tego procesu jest dotarcie do serwera C2 i pobranie komponentu rozpylacza złośliwego oprogramowania.
Po dostarczeniu do systemu, rozpylacz złośliwego oprogramowania uzyska listę adresów URL kontrolowanych przez atakujących i będzie hostować ostateczne zagrożenia złośliwym oprogramowaniem, które mają na celu eskalację ataku na cel. Jak dotąd wykryte adresy URL mają zróżnicowany charakter. Według badaczy niektóre z nich zostały stworzone wyłącznie do hostowania złośliwego oprogramowania, podczas gdy inne to legalne adresy URL Discord, które wskazują pliki przesłane na kanał publiczny. Opryskiwacz pobierze, a następnie wykona ładunki.
