MosaicLoader 惡意軟件

信息安全研究人員發現了一種威脅性的 Windows 惡意軟件加載程序，該加載程序在全球範圍內傳播並能夠向受感染的系統提供任何有效負載。該惡意軟件交付平台結合了多種新穎的混淆技術，使代碼的檢測、分析和逆向工程變得極其困難。在實踐中，加載器將其代碼拆分成小塊，並以類似馬賽克的模式在它們之間跳轉，因此該威脅被命名為 MosaicLoader。

該惡意軟件通過注入用戶搜索結果的付費廣告進行傳播。這些廣告似乎試圖提供盜版軟件產品或遊戲。該威脅偽裝成產品的破解安裝程序。一旦滲透到用戶的設備中，MosaicLoader 就會提供一個惡意軟件噴射器，它能夠根據攻擊者的特定目標提供各種有效載荷。

研究人員觀察到 MosaicLoader 部署了 Facebook cookie 收集器，可以洩露登錄數據和憑據，允許攻擊者破壞用戶的帳戶，然後將其用於各種惡意目的。該威脅還被用來傳送一個名為Glupteba的後門，以及幾個具有網絡間諜功能的 RAT（遠程訪問木馬）。通過 RAT，攻擊者可以啟動鍵盤記錄程序、從連接到受感染設備的任何麥克風錄製音頻、從網絡攝像頭生成圖像、截取任意屏幕截圖等等。 MosaicLoader 帶來的威脅還包括加密礦工，它們可以劫持系統的硬件資源並用於挖掘特定的加密貨幣。

MosaicLoader 詳細信息

在初始階段，在被攻破的設備上建立了一個模仿合法軟件的 dropper。這些第一階段的 dropper 帶有"版本號"和模仿合法應用程序的圖標。在一個觀察到的實例中，dropper 試圖將自己作為 NVIDIA 進程傳遞。此時的主要任務是從命令和控制（C2、C&C）服務器獲取包含兩個下一階段文件的 ZIP 存檔。存檔首先下載到 %TEMP% 文件夾並解壓到新創建的"PublicGaming"文件夾中。

在 ZIP 中的兩個文件中，"appsetup.exe"的任務是建立加載程序的持久性機制。它為另一個組件"prun.exe"添加一個新的註冊表值，然後將自己註冊為名為"pubgame-updater"的服務，該服務設置為定期運行。這樣做可確保即使刪除了註冊表值，該過程也將在之後被激活以重新創建它們。

prun.exe 是 MosaicLoader 惡意軟件的主要組件。它攜帶了所有的混淆技術，允許它把它的代碼分成塊，然後打亂它們的執行順序。此過程的核心任務是訪問 C2 服務器並獲取惡意軟件噴射器組件。

一旦傳送到系統，惡意軟件噴射器將獲得由攻擊者控制的 URL 列表，並託管旨在升級對目標的攻擊的最終惡意軟件威脅。到目前為止，檢測到的 URL 本質上是多種多樣的。據研究人員稱，有些是專門為託管惡意軟件而創建的，而另一些是合法的 Discord URL，指向上傳到公共頻道的文件。噴霧器將下載並執行有效載荷。