I ricercatori di Bitdefender hanno identificato un nuovo malware che viene apparentemente fornito tramite annunci a pagamento nei risultati di ricerca progettati per attirare gli utenti alla ricerca di software craccato per infettare i loro dispositivi.
Denominato “MosaicLoader” per via dell’intricata struttura interna che punta a confondere gli analisti di malware e prevenire il reverse engineering, il malware è stato scoperto durante l’analisi dei processi che aggiungono esclusioni locali in Windows Defender per nomi di file specifici.
La maggior parte dei downloader iniziali analizzati dai ricercatori presentano icone e informazioni sulla versione simili alle applicazioni legittime. I dropper della fase successiva avviano diverse istanze di Powershell che li mettono al riparo dai controlli di Windows Defender. Il setup per il secondo passaggio utilizza un escamotage che gli consente di ottenere la persistenza sul sistema.
Una volta impiantato nel sistema, MosaicLoader crea una complessa catena di processi e cerca di scaricare una varietà di minacce, da semplici stealer di cookie, miner di criptovaluta a backdoor come Glupteba.
Alcune tecniche utilizzate dagli aggressori attraverso MosaicLoader:
- Imitazione di informazioni sui file simili a software legittimo
- Offuscamento del codice con piccoli blocchi e ordine di esecuzione mescolato
- Meccanismo di consegna del carico utile che infetta la vittima con diversi ceppi di malware
Gli esperti di Bitdefender raccomandano agli utenti di non scaricare e installare applicazioni da siti Web non attendibili (Mosaic si rivolge principalmente alle vittime che cercano software craccato).
Le aziende dovrebbero inoltre applicare gli IOC ai loro sistemi EDR per garantire che i dipendenti che lavorano da casa (che sono più a rischio per il download di software craccato) non siano interessati.
https://labs.bitdefender.com/blog/labs/debugging-mosaicloader-one-step-at-a-time