MosaicLoader 恶意软件

信息安全研究人员发现了一种威胁性的 Windows 恶意软件加载程序，该加载程序在全球范围内传播并能够向受感染的系统提供任何有效负载。该恶意软件交付平台结合了多种新颖的混淆技术，使代码的检测、分析和逆向工程变得极其困难。在实践中，加载器将其代码拆分成小块，并在它们之间以类似马赛克的模式跳转，因此为这种威胁赋予了 MosaicLoader 名称。

该恶意软件通过注入用户搜索结果的付费广告进行传播。这些广告似乎试图提供盗版软件产品或游戏。该威胁伪装成产品的破解安装程序。一旦渗透到用户的设备中，MosaicLoader 就会提供一个恶意软件喷射器，它能够根据攻击者的特定目标提供各种有效载荷。

研究人员观察到 MosaicLoader 部署了 Facebook cookie 收集器，可以泄露登录数据和凭据，允许攻击者破坏用户的帐户，然后将其用于各种恶意目的。该威胁还被用来传送一个名为Glupteba的后门，以及几个具有网络间谍功能的 RAT（远程访问木马）。通过 RAT，攻击者可以启动键盘记录程序、从连接到受感染设备的任何麦克风录制音频、从网络摄像头生成图像、截取任意屏幕截图等等。 MosaicLoader 带来的威胁还包括加密矿工，它们可以劫持系统的硬件资源并用于挖掘特定的加密货币。

MosaicLoader 详细信息

在初始阶段，在被攻破的设备上建立了一个模仿合法软件的 dropper。这些第一阶段的 dropper 带有"版本号"和模仿合法应用程序的图标。在一个观察到的实例中，dropper 试图将自己作为 NVIDIA 进程传递。此时的主要任务是从命令和控制（C2、C&C）服务器获取包含两个下一阶段文件的 ZIP 存档。存档首先下载到 %TEMP% 文件夹并解压到新创建的"PublicGaming"文件夹中。

在 ZIP 中的两个文件中，"appsetup.exe"的任务是建立加载程序的持久性机制。它为另一个组件 - 'prun.exe' 添加一个新的注册表值，然后将自己注册为一个名为 'pubgame-updater' 的服务，该服务设置为定期运行。这样做可确保即使删除了注册表值，该过程也将在之后被激活以重新创建它们。

prun.exe 是 MosaicLoader 恶意软件的主要组件。它携带了所有的混淆技术，允许它把它的代码分成块，然后打乱它们的执行顺序。此过程的核心任务是访问 C2 服务器并获取恶意软件喷射器组件。

一旦传送到系统，恶意软件喷射器将获得由攻击者控制的 URL 列表，并托管旨在升级对目标的攻击的最终恶意软件威胁。到目前为止，检测到的 URL 本质上是多种多样的。据研究人员称，有些是专门为托管恶意软件而创建的，而另一些是合法的 Discord URL，指向上传到公共频道的文件。喷雾器将下载并执行有效载荷。