MosaicLoader Malware
Un cargador de malware de Windows amenazante que se está extendiendo por todo el mundo y es capaz de entregar cualquier carga útil a los sistemas comprometidos, virtualmente, ha sido descubierto por los investigadores de infosec. Esta plataforma de distribución de malware emplea una combinación de varias técnicas de ofuscación novedosas que dificultan enormemente la detección, el análisis y la ingeniería inversa del código. En la práctica, el cargador divide su código en pequeños trozos y salta entre ellos en un patrón similar a un mosaico, de ahí el nombre MosaicLoader dado a esta amenaza.
El malware se propaga a través de anuncios pagados inyectados en los resultados de búsqueda de los usuarios. Los anuncios parecen intentar ofrecer productos o juegos de software pirateados. La amenaza se disfraza como un instalador agrietado del producto. Una vez que se ha infiltrado en el dispositivo del usuario, MosaicLoader ofrece un rociador de malware capaz de entregar una amplia gama de cargas útiles, según los objetivos específicos de los atacantes.
Los investigadores han observado que MosaicLoader implementa recolectores de cookies de Facebook que pueden filtrar los datos de inicio de sesión y las credenciales, lo que permite a los atacantes comprometer la cuenta del usuario y luego explotarla para una variedad de propósitos maliciosos. La amenaza también se ha utilizado para ofrecer una puerta trasera llamada Glupteba, así como varios RAT (troyanos de acceso remoto) con capacidades de ciberespionaje. A través de las RAT, los atacantes pueden iniciar rutinas de registro de teclas, grabar audio desde cualquier micrófono conectado al dispositivo comprometido, generar imágenes desde cámaras web, tomar capturas de pantalla arbitrarias y más. Entre las amenazas entregadas por MosaicLoader también se encuentran los cripto-mineros que pueden secuestrar los recursos de hardware del sistema y usarse para extraer una criptomoneda específica.
Detalles de MosaicLoader
Durante la etapa inicial, se establece un cuentagotas que imita el software legítimo en el dispositivo violado. Estos cuentagotas de la primera etapa llevan 'números de versión' e íconos que imitan los de las aplicaciones legítimas. En un caso observado, el cuentagotas intentó hacerse pasar por un proceso de NVIDIA. La tarea principal en este punto es buscar un archivo ZIP que contenga dos archivos de la siguiente etapa del servidor Command-and-Control (C2, C&C). El archivo se descarga primero a la carpeta% TEMP% y se extrae en una carpeta 'PublicGaming' recién creada.
De los dos archivos en el ZIP, 'appsetup.exe' tiene la tarea de establecer los mecanismos de persistencia del cargador. Agrega un nuevo valor de registro para el otro componente: 'prun.exe' y luego se registra como un servicio llamado 'pubgame-Updater' que está configurado para ejecutarse periódicamente. Al hacerlo, se asegura de que incluso si se eliminan los valores del registro, el proceso se activará posteriormente para volver a crearlos.
El prun.exe es el componente principal del malware MosaicLoader. Lleva todas las técnicas de ofuscación que le permiten dividir su código en trozos y luego codificar el orden en el que se ejecutan. La tarea principal de este proceso es comunicarse con el servidor C2 y buscar el componente del rociador de malware.
Una vez entregado al sistema, el rociador de malware obtendrá una lista de URL controladas por los atacantes y albergará las amenazas de malware finales destinadas a intensificar el ataque contra el objetivo. Hasta ahora, las URL detectadas son de naturaleza variada. Según los investigadores, algunos se crearon únicamente para alojar malware, mientras que otros son URL legítimas de Discord que apuntan a archivos cargados en un canal público. El pulverizador descargará y luego ejecutará las cargas útiles.
