Вредоносное ПО MosaicLoader

Вредоносное ПО MosaicLoader Описание

Угрожающий загрузчик вредоносного ПО для Windows, который распространяется по всему миру и способен виртуально доставлять любую полезную нагрузку в скомпрометированные системы, был обнаружен исследователями информационной безопасности. Эта платформа доставки вредоносного ПО использует комбинацию нескольких новых методов обфускации, которые чрезвычайно затрудняют обнаружение, анализ и обратное проектирование кода. На практике загрузчик разбивает свой код на небольшие фрагменты и прыгает между ними в виде мозаики, отсюда и название MosaicLoader, данное этой угрозе.

Вредоносная программа распространяется через платные рекламные объявления, внедряемые в результаты поиска пользователей. Рекламные объявления, похоже, предлагают пиратские программные продукты или игры. Угроза маскируется под взломанный установщик продукта. После проникновения на устройство пользователя MosaicLoader предоставляет распылитель вредоносных программ, способный доставлять широкий спектр полезных нагрузок в зависимости от конкретных целей злоумышленников.

Исследователи наблюдали, как MosaicLoader развертывает сборщики файлов cookie Facebook, которые могут извлекать данные для входа и учетные данные, позволяя злоумышленникам взломать учетную запись пользователя, а затем использовать ее для различных злонамеренных целей. Угроза также использовалась для доставки бэкдора под названием Glupteba , а также нескольких RAT (троянских программ удаленного доступа) с возможностями кибершпионажа. С помощью RAT злоумышленники могут запускать процедуры кейлоггера, записывать звук с любого микрофона, подключенного к взломанному устройству, генерировать изображения с веб-камер, делать произвольные снимки экрана и многое другое. Среди угроз, предоставляемых MosaicLoader, также есть криптомайнеры, которые могут захватить аппаратные ресурсы системы и использоваться для майнинга определенной криптовалюты.

Детали MosaicLoader

На начальном этапе на взломанном устройстве устанавливается дроппер, имитирующий легитимное программное обеспечение. Эти дропперы первого уровня несут «номера версий» и значки, имитирующие таковые у законных приложений. В одном наблюдаемом случае дроппер пытался выдать себя за процесс NVIDIA. Основная задача на этом этапе - получить ZIP-архив, содержащий два файла следующего этапа, с сервера Command-and-Control (C2, C&C). Архив сначала загружается в папку% TEMP% и распаковывается во вновь созданную папку PublicGaming.

Из двух файлов в ZIP-архиве «appsetup.exe» отвечает за создание механизмов сохранения загрузчика. Он добавляет новое значение реестра для другого компонента - prun.exe, а затем регистрирует себя как службу с именем pubgame-updater, которая настроена на периодический запуск. Это гарантирует, что даже если значения реестра будут удалены, процесс будет активирован впоследствии для их воссоздания.

Prun.exe является основным компонентом вредоносной программы MosaicLoader. Он содержит все методы обфускации, которые позволяют ему разбивать код на части, а затем шифровать порядок их выполнения. Основная задача этого процесса - связаться с сервером C2 и получить компонент-распылитель вредоносных программ.

После доставки в систему распылитель вредоносных программ получит список URL-адресов, контролируемых злоумышленниками, и разместит последние вредоносные угрозы, предназначенные для эскалации атаки на цель. Пока что обнаруженные URL-адреса различаются по своему характеру. По словам исследователей, некоторые из них были созданы исключительно для размещения вредоносных программ, а другие являются законными URL-адресами Discord, которые указывают на файлы, загруженные на общедоступный канал. Опрыскиватель загрузит, а затем выполнит загрузку.