Исследователи из Bitdefender недавно обнаружили новое семейство малвари, которое распространяется по всему миру. По словам экспертов, у ВПО отсутствуют конкретные таргеты и распространяется оно через платную рекламу в интернете, нацеленную на пользователей, ищущих пиратское ПО и игры.
Классический сценарий: маскировка под установщик искомой программы, затем подгружается список URLs и с них начинаются поставляться необходимые данные. Судя по исследованию, главным его отличием является нестандартная техника обфускации для сокрытия следов присутствия, обхода антивирусных решений и усложнения расследования, в результате которой получается мозаичная структура - отсюда и название. Дальше происходит все как у всех: маскировка под легитимные процессы, установка в качестве сервиса, разные методы антифорензики и т.д.
Является универсальным транспортом для любого другого ВПО/полезной нагрузки. Новым оно является именно из-за своих транспортных целей: заразить как можно больше различных целей, чтоб затем уже распространять все что потребуется.
Рекомендации
Так как целью MosaicLoader являются пользователи, которые ищут пиратское ПО в интернете, то главная рекомендация - не делать так, либо загружать искомые приложения с надежных сайтов.
Для компаний с EDR решениями крайне желательно проверить IOCs в инфраструктуре мониторинга. Все-таки большинство компаний в наше время работают удаленно, и они подвержены большему риску к загрузке пиратских приложений.
Комментарии (3)
JerleShannara
21.07.2021 21:04+1Я правильно понял, что это очередная лажа на тему UltimatePorno4KGameInstaller.torrent.exe [256Kb]?
IkaR49
Мммм, кажется стандартный виндовый антивирус ещё пол года назад мне что-то про Mosaic говорил.
Dmitry_U4 Автор
Вполне возможно, что детекты уже давно были, а более менее официальное описание появилось недавно.