Threat Database Trojans MosaicLoader Malware

MosaicLoader Malware

Un chargeur de malware Windows menaçant qui se propage dans le monde entier et est capable de fournir virtuellement n'importe quelle charge utile aux systèmes compromis, a été découvert par les chercheurs d'infosec. Cette plate-forme de diffusion de logiciels malveillants utilise une combinaison de plusieurs nouvelles techniques d'obscurcissement qui rendent la détection, l'analyse et la rétro-ingénierie du code extrêmement difficiles. En pratique, le chargeur divise son code en petits morceaux et saute entre eux dans un motif en mosaïque, d'où le nom MosaicLoader donné à cette menace.

Le malware se propage via des publicités payantes injectées dans les résultats de recherche des utilisateurs. Les publicités semblent essayer d'offrir des produits logiciels ou des jeux piratés. La menace se déguise en un installateur craqué pour le produit. Une fois qu'il a infiltré l'appareil de l'utilisateur, MosaicLoader fournit un pulvérisateur de logiciels malveillants capable de fournir une large gamme de charges utiles, en fonction des objectifs spécifiques des attaquants.

Les chercheurs ont observé que MosaicLoader déployait des collecteurs de cookies Facebook qui peuvent exfiltrer les données de connexion et les informations d'identification, permettant aux attaquants de compromettre le compte de l'utilisateur, puis de l'exploiter à diverses fins malveillantes. La menace a également été utilisée pour fournir une porte dérobée nommée Glupteba, ainsi que plusieurs RAT (Remote Access Trojans) dotés de capacités de cyberespionnage. Grâce aux RAT, les attaquants peuvent lancer des routines d'enregistrement de frappe, enregistrer de l'audio à partir de n'importe quel microphone connecté à l'appareil compromis, générer des images à partir de webcams, prendre des captures d'écran arbitraires et plus encore. Parmi les menaces fournies par MosaicLoader figurent également les crypto-mineurs qui peuvent détourner les ressources matérielles du système et être utilisés pour extraire une crypto-monnaie spécifique.

Détails de MosaicLoader

Au cours de la phase initiale, un compte-gouttes imitant un logiciel légitime est établi sur l'appareil violé. Ces compte-gouttes de première étape portent des « numéros de version » et des icônes imitant ceux d'applications légitimes. Dans un cas observé, le compte-gouttes a tenté de se faire passer pour un processus NVIDIA. La tâche principale à ce stade est de récupérer une archive ZIP contenant deux fichiers de l'étape suivante à partir du serveur Command-and-Control (C2, C&C). L'archive est d'abord téléchargée dans le dossier %TEMP% et extraite dans un dossier 'PublicGaming' nouvellement créé.

Sur les deux fichiers du ZIP, « appsetup.exe » est chargé d'établir les mécanismes de persistance du chargeur. Il ajoute une nouvelle valeur de registre pour l'autre composant - « prun.exe », puis s'enregistre en tant que service nommé « pubgame-updater » qui est configuré pour s'exécuter périodiquement. Cela garantit que même si les valeurs de registre sont supprimées, le processus sera activé par la suite pour les recréer.

Le prun.exe est le composant principal du malware MosaicLoader. Il comporte toutes les techniques d'obscurcissement qui lui permettent de diviser son code en morceaux, puis de brouiller l'ordre dans lequel ils sont exécutés. La tâche principale de ce processus est d'atteindre le serveur C2 et de récupérer le composant de pulvérisation de logiciels malveillants.

Une fois livré au système, le pulvérisateur de logiciels malveillants obtiendra une liste d'URL contrôlées par les attaquants et hébergera les dernières menaces de logiciels malveillants destinées à intensifier l'attaque contre la cible. Jusqu'à présent, les URL détectées sont de nature variée. Selon les chercheurs, certains ont été créés uniquement pour héberger des logiciels malveillants, tandis que d'autres sont des URL Discord légitimes qui pointent vers des fichiers téléchargés sur une chaîne publique. Le pulvérisateur téléchargera puis exécutera les charges utiles.

Tendance

Le plus regardé

Chargement...