El malware MosaicLoader proporciona Facebook Stealer, RAT - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El malware MosaicLoader proporciona Facebook Stealer, RAT

Hola otra vez. En el teclado Eduardo Arroyo y esta vez te voy a hablar sobre El malware MosaicLoader proporciona Facebook Stealer, RAT

El malware MosaicLoader proporciona Facebook Stealer, RAT

El código recién documentado es una amenaza de distribución de malware de servicio completo que se está propagando indiscriminadamente a nivel mundial a través de anuncios de búsqueda pagados.

Una cepa indocumentada de malware de Windows denominada MosaicLoader se está extendiendo por todo el mundo y actúa como una plataforma de distribución de malware de servicio completo que se utiliza para infectar a las víctimas con troyanos de acceso remoto (RAT), ladrones de cookies de Facebook y otras amenazas.

Esto es según los investigadores de Bitdefender, quienes encontraron que el cargador se está extendiendo indiscriminadamente por todo el mundo a través de anuncios pagados en los resultados de búsqueda, dirigidos a personas que buscan software y juegos pirateados. Se hace pasar por un instalador de software crackeado, pero en realidad es un descargador que puede entregar cualquier carga útil a un sistema infectado.

«Los atacantes detrás de MosaicLoader han creado malware que puede entregar cualquier carga útil al sistema, haciéndolo potencialmente rentable como servicio de entrega», explicaron los investigadores de Bitdefender. un análisis lanzado el martes. «Descarga un rociador de malware que obtiene una lista de URL del servidor de comando y control (C2) y descarga cargas útiles de los enlaces recibidos».

Los investigadores observaron que el rociador de malware proporciona a los ladrones de cookies de Facebook, que exfiltran los datos de inicio de sesión, lo que permite a los ciberatacantes tomar el control de las cuentas, crear publicaciones que propagan malware o dañan la reputación.

MosaicLoader también está implementando la puerta trasera Glupteba y una variedad de RAT con fines de espionaje, dijeron, que pueden grabar pulsaciones de teclas, grabar audio desde el micrófono e imágenes de la cámara web, capturar capturas de pantalla, etc. Otras amenazas observadas hasta ahora incluyen a los mineros de criptomonedas, dijeron.

Una vez instalado en una máquina, el malware crea una compleja cadena de procesos, según Bitdefender. Su sello, dijeron los investigadores, es una técnica de ofuscación única que mezcla pequeños fragmentos de código en una intrincada estructura similar a un mosaico, de ahí el nombre.

La primera etapa del flujo de ejecución es la instalación de un cuentagotas, que imita el software legítimo; la mayoría de los cuentagotas de la primera etapa que analizaron los investigadores tienen iconos e «información de versión» que reflejan los utilizados para aplicaciones legítimas. En algunos casos, el cuentagotas pretende ser un proceso de NVIDIA, por ejemplo.

El cuentagotas se pone en contacto con C2 (la URL de C2 está codificada como una cadena), luego descarga un archivo .ZIP en la carpeta% TEMP% que contiene dos archivos necesarios para la segunda etapa: appsetup.exe y prun.exe. Estos se extraen a una carpeta «PublicGaming» que suena inofensiva en el directorio C:, mientras que el cuentagotas también lanza varias instancias de Powershell para agregar exclusiones de Windows Defender para carpetas y nombres de archivos específicos.

El proceso appsetup.exe se utiliza para lograr la persistencia en el sistema. Primero, agrega un nuevo valor de registro que apunta al otro componente de la segunda fase, prun.exe. Luego, registra appsetup.exe como un servicio llamado «pubgame-Updater» para que se ejecute periódicamente, asegurando que incluso si se limpia la clave de registro de persistencia, la agrega nuevamente.

Finalmente, ejecute prun.exe.

Al principio, el archivo prun.exe parece ser una «gran masa de datos comprimidos», dijeron los investigadores, pero la ingeniería inversa del archivo revela una llamada de función que transfiere la ejecución del malware de la sección de código principal a una secundaria.

«El más extendido [obfuscation] lo técnico es la presencia de saltos que rompen el código en pequeños trozos «, explicaron los investigadores de Bitdefender.» Algunos de estos saltos son condicionales, pero el código que se encuentra por encima de ellos asegura que las condiciones siempre se cumplan «.

Distribución global de MosaicLoader. Fuente: Bitdefender.

Una segunda técnica utilizada por prun.exe es el uso de operaciones matemáticas con números grandes para obtener los valores requeridos por el programa.

«Esta técnica dificulta el seguimiento del código durante la ingeniería inversa y hace que parezca que la sección solo contiene datos», explicaron. “También hay bytes de relleno aleatorios entre los bloques de código. Estos bytes ayudan a mantener la impresión de que la sección contiene datos. El flujo de código salta a estas partes y ejecuta solo los bloques pequeños y significativos «.

La combinación de estas técnicas permite que el malware cambie el orden de ejecución de los bloques, ya que el flujo puede saltar de una pieza a otra.

«Crea una estructura similar a un mosaico donde el código de funciones no es contiguo y se entrelazan piezas de diferentes funcionalidades», dijeron los investigadores. «Incluso si desenredamos los saltos, no podemos obtener funciones individuales, ya que en algunos casos el malware omite el uso de instrucciones de llamada, saltando directamente a la dirección deseada».

Por último, Prun.exe utiliza una técnica de enclavamiento de procesos para inyectar código en un proceso recién creado. El objetivo es comunicarse con el C2 para descargar la etapa final: un rociador de malware.

Prun.exe envía periódicamente solicitudes de comando a C2. Pero sus conversaciones con el C2 constan de solo dos comandos: «Descargar» y «comando». El primero le pide que recupere y guarde una carga útil enviada al disco. El segundo le ordena ejecutar una carga útil específica.

El objetivo del rociador de malware es descargar una lista de malware de una lista de URL controladas por atacantes que alojan malware y ejecutarlas. Por lo tanto, puede enviar cualquier malware al sistema, señalaron los investigadores de Bitdefender.

Las URL son variadas; algunos tienen nombres de dominio que se han registrado específicamente para alojar malware, mientras que otros son URL legítimas de Discord con archivos cargados en un canal público, según la compañía.

La campaña no tiene países u organizaciones objetivo específicos, según Bitdefender; infecta de manera oportunista a las víctimas que buscan software crackeado, y las infecciones están aumentando a nivel mundial en la telemetría de la compañía, dijo.

«Los sistemas infectados con este malware se convierten en parte de la red de máquinas que los atacantes pueden infectar aún más con cualquier malware que deseen», advirtieron los investigadores.

La mejor manera de defenderse de MosaicLoader es evitar descargar software descifrado de cualquier fuente, ya que este es el vector de infección inicial (por ahora). Los usuarios también deben verificar el dominio de origen de cada descarga para asegurarse de que los archivos sean legítimos y mantener las soluciones de seguridad actualizadas, aconsejan los investigadores.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *