MosaicLoaderマルウェア

世界中に広がり、侵害されたシステムにあらゆるペイロードを配信できる脅威のWindowsマルウェアローダーが、事実上、infosecの研究者によって発見されました。このマルウェア配信プラットフォームは、コードの検出、分析、およびリバースエンジニアリングを非常に困難にするいくつかの新しい難読化手法の組み合わせを採用しています。実際には、ローダーはコードを小さなチャンクに分割し、モザイクのようなパターンでそれらの間をジャンプします。したがって、この脅威にMosaicLoaderという名前が付けられています。

マルウェアは、ユーザーの検索結果に挿入された有料広告を介して拡散します。広告は、海賊版ソフトウェア製品またはゲームを提供しようとしているようです。この脅威は、製品のひびの入ったインストーラーになりすます。 MosaicLoaderは、ユーザーのデバイスに侵入すると、攻撃者の特定の目標に応じて、さまざまなペイロードを配信できるマルウェアスプレーを配信します。

研究者は、MosaicLoaderがログインデータとクレデンシャルを盗み出すことができるFacebook Cookieコレクターを展開し、攻撃者がユーザーのアカウントを侵害し、さまざまな悪意のある目的でそれを悪用できることを確認しました。この脅威は、Gluptebaという名前のバックドアや、サイバースパイ機能を備えたいくつかのRAT（リモートアクセストロイの木馬）の配信にも使用されています。攻撃者は、RATを介して、キーロガールーチンを開始したり、侵入先のデバイスに接続されたマイクから音声を録音したり、Webカメラから画像を生成したり、任意のスクリーンショットを撮ったりすることができます。 MosaicLoaderによって提供される脅威の中には、システムのハードウェアリソースを乗っ取って、特定の暗号通貨をマイニングするために使用できるクリプトマイナーもあります。

MosaicLoaderの詳細

初期段階では、正規のソフトウェアを模倣したドロッパーが侵害されたデバイス上に確立されます。これらの第1段階のドロッパーには、正規のアプリケーションのものを模倣した「バージョン番号」とアイコンが付いています。ある観察された例では、ドロッパーはそれ自体をNVIDIAプロセスとして渡そうとしました。この時点での主なタスクは、コマンドアンドコントロール（C2、C＆C）サーバーから2つの次の段階のファイルを含むZIPアーカイブをフェッチすることです。アーカイブは最初に％TEMP％フォルダーにダウンロードされ、新しく作成された「PublicGaming」フォルダーに抽出されます。

ZIP内の2つのファイルのうち、「appsetup.exe」はローダーの永続性メカニズムを確立する役割を果たします。他のコンポーネントの新しいレジストリ値「prun.exe」を追加し、定期的に実行するように設定された「pubgame-updater」という名前のサービスとして登録します。そうすることで、レジストリ値が削除された場合でも、後でそれらを再作成するためのプロセスがアクティブ化されます。

prun.exeは、MosaicLoaderマルウェアの主要コンポーネントです。コードをチャンクに分割し、実行される順序をスクランブルできるようにするすべての難読化手法を備えています。このプロセスのコアタスクは、C2サーバーにアクセスして、マルウェアスプレーヤーコンポーネントをフェッチすることです。

マルウェアスプレーヤーは、システムに配信されると、攻撃者によって制御されているURLのリストを取得し、標的に対する攻撃をエスカレートすることを目的とした最終的なマルウェアの脅威をホストします。これまでのところ、検出されたURLは本質的にさまざまです。研究者によると、マルウェアをホストするためだけに作成されたものもあれば、パブリックチャネルにアップロードされたファイルを指す正当なDiscordURLであるものもあります。噴霧器はペイロードをダウンロードして実行します。