MosaicLoader-Malware
Die infosec-Forscher haben einen bedrohlichen Windows-Malware-Loader entdeckt, der sich weltweit verbreitet und jede beliebige Nutzlast virtuell an die kompromittierten Systeme liefern kann. Diese Plattform zur Bereitstellung von Malware verwendet eine Kombination mehrerer neuartiger Verschleierungstechniken, die die Erkennung, Analyse und das Reverse-Engineering des Codes extrem erschweren. In der Praxis teilt der Loader seinen Code in kleine Blöcke auf und springt in einem mosaikartigen Muster zwischen ihnen hin und her, daher der Name MosaicLoader für diese Bedrohung.
Die Malware verbreitet sich über bezahlte Werbung, die in die Suchergebnisse der Benutzer eingefügt wird. Die Werbung scheint zu versuchen, raubkopierte Softwareprodukte oder Spiele anzubieten. Die Bedrohung tarnt sich als gecrackter Installer für das Produkt. Sobald es das Gerät des Benutzers infiltriert hat, liefert MosaicLoader einen Malware-Sprayer, der je nach den spezifischen Zielen der Angreifer eine Vielzahl von Nutzlasten liefern kann.
Forscher haben beobachtet, dass MosaicLoader Facebook-Cookie-Sammler einsetzt, die Anmeldedaten und Anmeldeinformationen exfiltrieren können, wodurch Angreifer das Konto des Benutzers kompromittieren und es dann für eine Vielzahl von böswilligen Zwecken ausnutzen können. Die Bedrohung wurde auch verwendet, um eine Hintertür namens Glupteba sowie mehrere RAT (Remote Access Trojaner) mit Cyberspionage-Funktionen bereitzustellen. Durch die RATs können die Angreifer Keylogging-Routinen initiieren, Audio von jedem Mikrofon aufzeichnen, das mit dem kompromittierten Gerät verbunden ist, Bilder von Webcams generieren, beliebige Screenshots erstellen und vieles mehr. Zu den Bedrohungen von MosaicLoader gehören auch Krypto-Miner, die die Hardware-Ressourcen des Systems kapern und zum Mining nach einer bestimmten Kryptowährung verwendet werden können.
MosaicLoader-Details
In der Anfangsphase wird auf dem beschädigten Gerät ein Dropper eingerichtet, der legitime Software nachahmt. Diese Dropper der ersten Stufe tragen 'Versionsnummern' und Symbole, die die von legitimen Anwendungen imitieren. In einem beobachteten Fall versuchte der Dropper, sich als NVIDIA-Prozess auszugeben. Die Hauptaufgabe an dieser Stelle besteht darin, ein ZIP-Archiv mit zwei Next-Stage-Dateien vom Command-and-Control-Server (C2, C&C) abzurufen. Das Archiv wird zuerst in den Ordner %TEMP% heruntergeladen und in einen neu erstellten Ordner „PublicGaming" entpackt.
Von den beiden Dateien im ZIP hat 'appsetup.exe' die Aufgabe, die Persistenzmechanismen des Loaders einzurichten. Es fügt einen neuen Registrierungswert für die andere Komponente hinzu – „prun.exe" und registriert sich dann als Dienst namens „pubgame-updater", der regelmäßig ausgeführt wird. Dadurch wird sichergestellt, dass der Prozess auch dann aktiviert wird, wenn die Registrierungswerte gelöscht werden, um sie neu zu erstellen.
Die prun.exe ist die Hauptkomponente der MosaicLoader-Malware. Es enthält alle Verschleierungstechniken, die es ihm ermöglichen, seinen Code in Stücke aufzuteilen und dann die Reihenfolge zu verschlüsseln, in der sie ausgeführt werden. Die Kernaufgabe dieses Prozesses besteht darin, den C2-Server zu erreichen und die Malware-Sprayer-Komponente abzurufen.
Nach der Übermittlung an das System erhält der Malware-Sprayer eine Liste von URLs, die von den Angreifern kontrolliert werden, und hostet endgültige Malware-Bedrohungen, die den Angriff auf das Ziel eskalieren sollen. Bisher sind die erkannten URLs unterschiedlicher Natur. Den Forschern zufolge wurden einige ausschließlich zum Hosten von Malware erstellt, während andere legitime Discord-URLs sind, die auf Dateien verweisen, die in einen öffentlichen Kanal hochgeladen wurden. Das Spritzgerät lädt die Nutzlasten herunter und führt sie dann aus.
