Les chercheurs en cybersécurité ont levé mardi le voile sur une souche de malware auparavant non documentée surnommée « MosaicLoader » qui distingue les personnes à la recherche de logiciels piratés dans le cadre d’une campagne mondiale.
« Les attaquants derrière MosaicLoader ont créé un malware capable de fournir n’importe quelle charge utile sur le système, ce qui le rend potentiellement rentable en tant que service de livraison », ont déclaré les chercheurs de Bitdefender dans un communiqué. rapport partagé avec The Hacker News. « Le malware arrive sur les systèmes cibles en se faisant passer pour des installateurs craqués. Il télécharge un pulvérisateur de malware qui obtient une liste d’URL du serveur C2 et télécharge les charges utiles à partir des liens reçus. »
Le malware a été ainsi nommé en raison de sa structure interne sophistiquée qui est orchestrée pour empêcher la rétro-ingénierie et échapper à l’analyse.
Les attaques impliquant MosaicLoader reposent sur une tactique bien établie de diffusion de logiciels malveillants appelée empoisonnement par l’optimisation des moteurs de recherche (SEO), dans laquelle les cybercriminels achètent des espaces publicitaires dans les résultats des moteurs de recherche pour renforcer leurs liens malveillants en tant que meilleurs résultats lorsque les utilisateurs recherchent des termes liés à des logiciels piratés.
En cas d’infection réussie, le compte-gouttes initial basé sur Delphi – qui se fait passer pour un programme d’installation de logiciel – agit comme un point d’entrée pour récupérer les charges utiles de la prochaine étape à partir d’un serveur distant et ajoute également exclusions locales dans Windows Defender pour les deux exécutables téléchargés afin de contrecarrer l’analyse antivirus.
Il convient de souligner que de telles exclusions de Windows Defender peuvent être trouvées dans les clés de registre répertoriées ci-dessous :
- Exclusions de fichiers et de dossiers – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths
- Exclusions de type de fichier – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsExtensions
- Exclusions de processus – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsProcesses
L’un des binaires, « appsetup.exe », est conçu pour assurer la persistance sur le système, tandis que le deuxième exécutable, « prun.exe », fonctionne comme un téléchargeur pour un module de pulvérisation qui peut récupérer et déployer une variété de menaces à partir d’un liste d’URL, allant des voleurs de cookies aux mineurs de crypto-monnaie, et des implants encore plus avancés comme Glupteba.
« prun.exe » est également remarquable pour son barrage de techniques d’obscurcissement et d’anti-retour qui impliquent de séparer des morceaux de code avec des octets de remplissage aléatoires, le flux d’exécution étant conçu pour « sauter ces parties et n’exécuter que les petits morceaux significatifs ».
Compte tenu des capacités étendues de MosaicLoader, les systèmes compromis peuvent être cooptés dans un botnet que l’auteur de la menace peut ensuite exploiter pour propager des ensembles multiples et évolutifs de logiciels malveillants sophistiqués, y compris des logiciels malveillants accessibles au public et personnalisés, afin d’obtenir, d’étendre et de maintenir des logiciels non autorisés. accès aux ordinateurs et aux réseaux des victimes.
« La meilleure façon de se défendre contre MosaicLoader est d’éviter de télécharger des logiciels piratés à partir de n’importe quelle source », ont déclaré les chercheurs. « En plus d’être contraires à la loi, les cybercriminels cherchent à cibler et à exploiter les utilisateurs à la recherche de logiciels illégaux », ajoutant qu’il est essentiel de « vérifier le domaine source de chaque téléchargement pour s’assurer que les fichiers sont légitimes ».
