新的恶意软件MosaicLoader可隐藏在Windows Defender排除项中逃避检测 – 作者:中科天齐软件安全中心

周二，网络安全研究人员揭开了一个名为“ MosaicLoader ”的，先前未记录的恶意软件毒株的神秘面纱，该毒株将寻找破解软件的个人作为全球活动的一部分。

Bitdefender 研究人员在分享的一份报告中称，MosaicLoader 背后的攻击者创建了可以在系统上传递任何有效载荷的恶意软件，使其作为传送服务并有可能获利。恶意软件通过伪装成被破解的安装程序到达目标系统。它会下载一个恶意软件喷雾器，从C2服务器获取URL列表，并从接收到的链接下载有效负载。

Windows计算机恶意软件

该恶意软件之所以如此命名，是因为其精心设计的复杂内部结构，可防止逆向工程和逃避分析。

涉及 MosaicLoader 的攻击依赖于一种成熟的恶意软件传送策略，称为搜索引擎优化 (SEO) 中毒，其中网络犯罪分子在搜索引擎结果中购买广告位，以在用户搜索与盗版软件相关的术语时将其恶意链接提升为热门结果。

在成功感染后，最初的基于Delphi的dropper(伪装成软件安装程序)充当入口点，从远程服务器获取下一阶段的有效负载，并在Windows Defender中为两个下载的可执行文件添加本地排除项以尝试阻止防病毒扫描。

值得指出的是，可以在下面列出的注册表项中找到此类Windows Defender排除项：

文件和文件夹排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

文件类型排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions

进程排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

其中一个二进制文件“appsetup.exe”旨在实现系统上的持久性，而第二个可执行文件“prun.exe”用作喷雾器模块的下载程序，该模块可以检索和部署来自URL列表，从cookie 窃取程序到加密货币挖掘程序，甚至更高级的植入程序，如Glupteba。

“prun.exe”还以其大量的混淆和反逆向技术而著称，这些技术涉及用随机填充字节分隔代码块，其执行流程旨在“跳过这些部分，只执行小的、有意义的块”。

恶意软件地图

鉴于MosaicLoader的广泛功能，受感染的系统可以被纳入僵尸网络，然后威胁参与者可以利用该僵尸网络传播多组不断发展的复杂恶意软件，包括公开可用的和定制的恶意软件，以获取、扩展和维护未经授权的访问受害计算机和网络。

研究人员称，防御MosaicLoader的最佳方法是避免从任何来源下载破解软件，除了违法之外，网络犯罪分子还会瞄准和利用搜索非法软件的用户。并且检查每次下载的源域名，以确保文件合法至关重要。

90%以上的网络安全问题是由软件自身的安全漏洞被利用导致!软件安全是网络安全的基础组成部分，做好“软件安全检测修复”是现有网络安全防护手段的重要补充。恶意软件渗入方式日益高明，它们可以轻易躲过传统网络安全产品的检测和防御，进而感染并攻击受害者的网络系统。因此，为了确保网络安全，在使用和开发软件过程中，加强软件安全检测，减少软件安全漏洞可以和软件安全产品共同发挥作用，一同抵御网络攻击。

参读链接：

https://www.woocoom.com/b021.html?id=129b7d3767644328a2923d851b4ba463

https://thehackernews.com/2021/07/this-new-malware-hides-itself-among.html

来源：freebuf.com 2021-07-22 10:48:33 by: 中科天齐软件安全中心