MosaicLoader Malware
Um ameaçador carregador de malware do Windows está se espalhando por todo o mundo e é capaz de entregar, virtualmente, qualquer carga útil aos sistemas comprometidos, foi descoberto pelos pesquisadores de infosec. Esta plataforma de entrega de malware emprega uma combinação de várias novas técnicas de ofuscação, que tornam a detecção, análise e engenharia reversa do código extremamente difícil. Na prática, o carregador divide seu código em pequenos pedaços e salta entre eles em um padrão semelhante a um mosaico; daí o nome MosaicLoader dado a essa ameaça.
O malware se espalha por meio de anúncios pagos, injetados nos resultados de pesquisa dos usuários. Os anúncios parecem tentar oferecer produtos ou jogos de software pirateados. A ameaça se disfarça como um instalador crackeado para o produto. Depois de se infiltrar no dispositivo do usuário, o MosaicLoader oferece um pulverizador de malware capaz de fornecer uma ampla gama de cargas úteis, dependendo dos objetivos específicos dos atacantes.
Os pesquisadores observaram o MosaicLoader implantando coletores de cookies do Facebook que podem exfiltrar dados de login e credenciais, permitindo que os invasores comprometam a conta do usuário e a explorem para diversos fins maliciosos. A ameaça também foi usada para entregar um backdoor chamado Glupteba, bem como vários RAT (Trojans de acesso remoto) com recursos de espionagem cibernética. Por meio dos RATs, os invasores podem iniciar rotinas de keylogging, gravar áudio de qualquer microfone conectado ao dispositivo comprometido, gerar imagens de webcams, fazer capturas de tela arbitrárias e muito mais. Entre as ameaças entregues pelo MosaicLoade, estão também minerados de cripto-moeda, que podem sequestrar os recursos de hardware do sistema e usa-los para minerar uma cripto-moeda específica.
Detalhes do MosaicLoader
Durante o estágio inicial, um dropper, imitando um software legítimo, é estabelecido no dispositivo violado. Esses droppers de primeiro estágio carregam 'números de versão' e ícones que imitam os de aplicativos legítimos. Em uma instância observada, o dropper tentou se passar por um processo NVIDIA. A principal tarefa neste ponto é buscar um arquivo ZIP contendo dois arquivos de próximo estágio do servidor Command-and-Control (C2, C&C). O arquivo é primeiro baixado para a pasta% TEMP% e extraído em uma pasta 'PublicGaming' recém-criada.
Dos dois arquivos no ZIP,o 'appsetup.exe' tem a tarefa de estabelecer os mecanismos de persistência do carregador. Ele adiciona um novo valor de Registro para o outro componente - 'prun.exe' e então se registra como um serviço chamado 'pubgame-updater' que é configurado para ser executado periodicamente. Isso garante que, mesmo que os valores do Registro sejam excluídos, o processo será ativado posteriormente para recriá-los.
O prun.exe é o principal componente do malware MosaicLoader. Ele carrega todas as técnicas de ofuscação que permitem dividir seu código em partes e, em seguida, embaralhar a ordem em que são executados. A principal tarefa desse processo é chegar ao servidor C2 e buscar o componente pulverizador de malware.
Uma vez entregue no sistema, o pulverizador de malware obterá uma lista de URLs controlados pelos atacantes e hospedará ameaças de malware finais destinadas a escalar o ataque contra o alvo. Até agora, os URLs detectados são de natureza variada. De acordo com os pesquisadores, alguns foram criados apenas para hospedar malware, enquanto outros são URLs legítimos do Discord que apontam para arquivos carregados em um canal público. O pulverizador fará o download e, em seguida, executará as cargas úteis.
