MosaicLoader
MosaicLoader

Исследователи из Bitdefender недавно обнаружили новое семейство малвари, которое распространяется по всему миру. По словам экспертов, у ВПО отсутствуют конкретные таргеты и распространяется оно через платную рекламу в интернете, нацеленную на пользователей, ищущих пиратское ПО и игры.

Классический сценарий: маскировка под установщик искомой программы, затем подгружается список URLs и с них начинаются поставляться необходимые данные. Судя по исследованию, главным его отличием является нестандартная техника обфускации для сокрытия следов присутствия, обхода антивирусных решений и усложнения расследования, в результате которой получается мозаичная структура — отсюда и название. Дальше происходит все как у всех: маскировка под легитимные процессы, установка в качестве сервиса, разные методы антифорензики и т.д.

Является универсальным транспортом для любого другого ВПО/полезной нагрузки. Новым оно является именно из-за своих транспортных целей: заразить как можно больше различных целей, чтоб затем уже распространять все что потребуется.

Рекомендации

Так как целью MosaicLoader являются пользователи, которые ищут пиратское ПО в интернете, то главная рекомендация — не делать так, либо загружать искомые приложения с надежных сайтов.

Для компаний с EDR решениями крайне желательно проверить IOCs в инфраструктуре мониторинга. Все-таки большинство компаний в наше время работают удаленно, и они подвержены большему риску к загрузке пиратских приложений.

Источник: Habr

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие записи: