Investigadores de ciberseguridad levantaron el martes la tapa de una cepa de malware previamente indocumentada denominada » MosaicLoader » que destaca a las personas que buscan software descifrado como parte de una campaña global.

«Los atacantes detrás de MosaicLoader crearon una pieza de malware que puede entregar cualquier carga útil en el sistema, haciéndolo potencialmente rentable como servicio de entrega», dijeron los investigadores de Bitdefender en un informe compartido con The Hacker News. «El malware llega a los sistemas de destino haciéndose pasar por instaladores crackeados. Descarga un rociador de malware que obtiene una lista de URL del servidor C2 y descarga las cargas útiles de los enlaces recibidos».

malware informático de windows

El malware se ha denominado así debido a su sofisticada estructura interna que está orquestada para evitar la ingeniería inversa y evadir el análisis.

Los ataques que involucran a MosaicLoader se basan en una táctica bien establecida para la entrega de malware llamada envenenamiento por optimización de motores de búsqueda (SEO), en la que los ciberdelincuentes compran espacios publicitarios en los resultados de los motores de búsqueda para impulsar sus enlaces maliciosos como resultados principales cuando los usuarios buscan términos relacionados con software pirateado.

Tras una infección exitosa, el cuentagotas inicial basado en Delphi, que se hace pasar por un instalador de software, actúa como un punto de entrada para obtener cargas útiles de la siguiente etapa desde un servidor remoto y también agrega exclusiones locales en Windows Defender para los dos ejecutables descargados en un intento. para frustrar el análisis antivirus.

malware informático de windows

Vale la pena señalar que tales exclusiones de Windows Defender se pueden encontrar en las claves de registro que se enumeran a continuación:

  • Exclusiones de archivos y carpetas: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Paths
  • Exclusiones de tipo de archivo: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Extensions
  • Exclusiones de procesos: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Processes

Uno de los binarios, «appsetup.exe», está concebido para lograr la persistencia en el sistema, mientras que el segundo ejecutable, «prun.exe», funciona como un descargador de un módulo de pulverización que puede recuperar e implementar una variedad de amenazas de un lista de URL, que van desde ladrones de cookies hasta mineros de criptomonedas, e incluso implantes más avanzados como Glupteba.

«prun.exe» también se destaca por su aluvión de técnicas de ofuscación y anti-retroceso que implican separar fragmentos de código con bytes de relleno aleatorios, con el flujo de ejecución diseñado para «saltar sobre estas partes y solo ejecutar los fragmentos pequeños y significativos».

mapa de malware en vivo

Dada la amplia gama de capacidades de MosaicLoader, los sistemas comprometidos pueden convertirse en una botnet que el actor de la amenaza puede explotar para propagar conjuntos múltiples y en evolución de malware sofisticado, incluido el malware personalizado y disponible públicamente, para obtener, expandir y mantener sin autorización. acceso a las computadoras y redes de las víctimas.

«La mejor manera de defenderse de MosaicLoader es evitar descargar software descifrado de cualquier fuente», dijeron los investigadores. «Además de estar en contra de la ley, los ciberdelincuentes buscan atacar y explotar a los usuarios que buscan software ilegal», y agrega que es esencial «verificar el dominio de origen de cada descarga para asegurarse de que los archivos sean legítimos».

Fuente y redacción: thehackernews.com

Compartir