MosaicLoader Malware

En hotande Windows-malware-lastare som sprider sig över hela världen och som i princip kan leverera vilken nyttolast som helst till de komprometterade systemen har upptäckts av infosec-forskarna. Den här leveransplattformen för skadlig programvara använder en kombination av flera nya fördunkningstekniker som gör detektering, analys och omvandling av koden extremt svår. I praktiken delar lastaren sin kod i små bitar och hoppar runt dem i ett mosaikliknande mönster, därav MosaicLoader-namnet som ges detta hot.

Skadlig programvara sprids via betalda annonser som sprutas in i användarnas sökresultat. Annonserna verkar försöka erbjuda piratkopierade mjukvaruprodukter eller spel. Hotet förklarar sig som en sprucken installatör för produkten. När den väl har infiltrerat användarens enhet levererar MosaicLoader en skadlig spruta som kan leverera ett stort antal nyttolaster beroende på angriparnas specifika mål.

Forskare har observerat att MosaicLoader distribuerar Facebook-cookie-samlare som kan exfiltrera inloggningsdata och referenser, så att angriparna kan kompromissa med användarens konto och sedan utnyttja det för en mängd olika skadliga syften. Hotet har också använts för att leverera en bakdörr som heter Glupteba, liksom flera RAT (fjärråtkomsttrojaner) med cyberspioneringsfunktioner. Genom RAT: erna kan angriparna initiera keylogging-rutiner, spela in ljud från vilken mikrofon som helst som är ansluten till den komprometterade enheten, generera bilder från webbkameror, ta godtyckliga skärmdumpar och mer. Bland hotet från MosaicLoader finns också krypto-gruvarbetare som kan kapa systemets hårdvaruresurser och användas för att bryta för en specifik kryptovaluta.

MosaicLoader Detaljer

Under det inledande skedet etableras en dropper som efterliknar legitim programvara på den brutna enheten. Dessa första stegs droppare har 'versionsnummer' och ikoner som imiterar legitima applikationer. I ett observerat fall försökte dropparen passera sig själv som en NVIDIA-process. Huvuduppgiften vid denna punkt är att hämta ett ZIP-arkiv som innehåller två nästa stegs filer från Command-and-Control (C2, C&C) -servern. Arkivet laddas ner först till mappen% TEMP% och extraheras i en nyskapad mapp 'PublicGaming'.

Av de två filerna i ZIP har 'appsetup.exe' i uppgift att fastställa lastarens uthållighetsmekanismer. Det lägger till ett nytt registervärde för den andra komponenten - 'prun.exe' och registrerar sig sedan som en tjänst som heter 'pubgame-updater' som är inställd på att köras regelbundet. Genom att göra detta säkerställs att även om registervärdena raderas, kommer processen att aktiveras efteråt för att återskapa dem.

Prun.exe är huvudkomponenten i MosaicLoader-skadlig programvara. Den bär alla fördunkningstekniker som gör det möjligt för den att dela upp koden i bitar och sedan krypa i ordningen i vilken de körs. Kärnuppgiften för denna process är att nå ut till C2-servern och hämta skadekomponenten.

När den har levererats till systemet kommer sprutan med skadlig kod att få en lista med URL-adresser som kontrolleras av angriparna och vara värd för slutliga hot mot skadlig programvara som är avsedda att eskalera attacken mot målet. Hittills har de upptäckta webbadresserna varierat till sin natur. Enligt forskarna skapades vissa endast för att vara värd för skadlig programvara, medan andra är legitima Discord-URL: er som pekar på filer som laddats upp till en offentlig kanal. Sprutan laddar ner och kör sedan nyttolasten.