MosaicLoader
MosaicLoader

Исследователи из Bitdefender недавно обнаружили новое семейство малвари, которое распространяется по всему миру. По словам экспертов, у ВПО отсутствуют конкретные таргеты и распространяется оно через платную рекламу в интернете, нацеленную на пользователей, ищущих пиратское ПО и игры.

Классический сценарий: маскировка под установщик искомой программы, затем подгружается список URLs и с них начинаются поставляться необходимые данные. Судя по исследованию, главным его отличием является нестандартная техника обфускации для сокрытия следов присутствия, обхода антивирусных решений и усложнения расследования, в результате которой получается мозаичная структура - отсюда и название. Дальше происходит все как у всех: маскировка под легитимные процессы, установка в качестве сервиса, разные методы антифорензики и т.д.

Является универсальным транспортом для любого другого ВПО/полезной нагрузки. Новым оно является именно из-за своих транспортных целей: заразить как можно больше различных целей, чтоб затем уже распространять все что потребуется.

Рекомендации

Так как целью MosaicLoader являются пользователи, которые ищут пиратское ПО в интернете, то главная рекомендация - не делать так, либо загружать искомые приложения с надежных сайтов.

Для компаний с EDR решениями крайне желательно проверить IOCs в инфраструктуре мониторинга. Все-таки большинство компаний в наше время работают удаленно, и они подвержены большему риску к загрузке пиратских приложений.

Комментарии (3)


  1. IkaR49
    21.07.2021 20:02
    +1

    Мммм, кажется стандартный виндовый антивирус ещё пол года назад мне что-то про Mosaic говорил.


    1. Dmitry_U4 Автор
      21.07.2021 20:47
      +1

      Вполне возможно, что детекты уже давно были, а более менее официальное описание появилось недавно.


  1. JerleShannara
    21.07.2021 21:04
    +1

    Я правильно понял, что это очередная лажа на тему UltimatePorno4KGameInstaller.torrent.exe [256Kb]?