MosaicLoader Malware

Infosec araştırmacıları, dünya çapında yayılan ve güvenliği ihlal edilmiş sistemlere herhangi bir yükü sanal olarak sunabilen tehdit edici bir Windows kötü amaçlı yazılım yükleyicisini ortaya çıkardı. Bu kötü amaçlı yazılım dağıtım platformu, kodun tespit edilmesini, analiz edilmesini ve tersine mühendislik yapılmasını son derece zorlaştıran birkaç yeni şaşırtma tekniğinin bir kombinasyonunu kullanır. Uygulamada, yükleyici kodunu küçük parçalara böler ve aralarında mozaik benzeri bir düzende atlar, bu nedenle bu tehdide MosaicLoader adı verilir.

Kötü amaçlı yazılım, kullanıcıların arama sonuçlarına enjekte edilen ücretli reklamlar yoluyla yayılır. Reklamlar, korsan yazılım ürünleri veya oyunlar sunmaya çalışıyor gibi görünüyor. Tehdit, kendisini ürün için kırık bir yükleyici olarak gizler. MosaicLoader, kullanıcının cihazına sızdıktan sonra, saldırganların belirli hedeflerine bağlı olarak çok çeşitli yükleri sunabilen bir kötü amaçlı yazılım püskürtücü sunar.

Araştırmacılar, MosaicLoader'ın oturum açma verilerini ve kimlik bilgilerini sızdırabilen ve saldırganların kullanıcının hesabını tehlikeye atmasına ve ardından çeşitli kötü amaçlı amaçlar için kullanmasına olanak tanıyan Facebook çerez toplayıcıları dağıttığını gözlemledi. Tehdit ayrıca Glupteba adlı bir arka kapının yanı sıra siber casusluk yeteneklerine sahip birkaç RAT (Uzaktan Erişim Truva Atı) sağlamak için de kullanıldı. Saldırganlar, RAT'ler aracılığıyla keylogging rutinlerini başlatabilir, güvenliği ihlal edilen cihaza bağlı herhangi bir mikrofondan ses kaydedebilir, web kameralarından görüntüler oluşturabilir, rastgele ekran görüntüleri alabilir ve daha fazlasını yapabilir. MosaicLoader tarafından sağlanan tehditler arasında, sistemin donanım kaynaklarını ele geçirebilen ve belirli bir kripto para birimi için madencilik yapmak için kullanılabilen kripto madencileri de var.

MozaikYükleyici Ayrıntıları

İlk aşamada, ihlal edilen cihaza meşru yazılımı taklit eden bir damlalık kurulur. Bu birinci aşama damlalıklar, "sürüm numaraları" ve yasal uygulamalarınkileri taklit eden simgeler taşır. Gözlenen bir örnekte, damlalık kendisini bir NVIDIA süreci olarak geçirmeye çalıştı. Bu noktada ana görev, Komuta ve Kontrol (C2, C&C) sunucusundan iki sonraki aşama dosyasını içeren bir ZIP arşivi getirmektir. Arşiv önce %TEMP% klasörüne indirilir ve yeni oluşturulan 'PublicGaming' klasörüne çıkarılır.

ZIP'deki iki dosyadan 'appsetup.exe', yükleyicinin kalıcılık mekanizmalarını kurmakla görevlidir. Diğer bileşen olan 'prun.exe' için yeni bir Kayıt Defteri değeri ekler ve ardından kendisini periyodik olarak çalışacak şekilde ayarlanmış 'pubgame-updater' adlı bir hizmet olarak kaydeder. Bunu yapmak, kayıt defteri değerleri silinse bile, yeniden oluşturmak için işlemin daha sonra etkinleştirilmesini sağlar.

Prun.exe, MosaicLoader kötü amaçlı yazılımının ana bileşenidir. Kodunu parçalara ayırmasına ve ardından yürütülme sırasını karıştırmasına izin veren tüm şaşırtma tekniklerini taşır. Bu işlemin temel görevi, C2 sunucusuna ulaşmak ve kötü amaçlı yazılım püskürtücü bileşenini getirmektir.

Kötü amaçlı yazılım püskürtücü, sisteme teslim edildikten sonra, saldırganlar tarafından kontrol edilen URL'lerin bir listesini alır ve hedefe yönelik saldırıyı artırmaya yönelik son kötü amaçlı yazılım tehditlerini barındırır. Şimdiye kadar, tespit edilen URL'ler doğası gereği çeşitlidir. Araştırmacılara göre, bazıları yalnızca kötü amaçlı yazılımları barındırmak için oluşturulmuşken, diğerleri genel bir kanala yüklenen dosyalara işaret eden meşru Discord URL'leridir. Püskürtücü yükleri indirecek ve ardından yürütecektir.