Los investigadores de ciberseguridad han revelado este martes una cepa de malware no documentada hasta ahora, denominada «MosaicLoader«, que señala a las personas que buscan software crackeado como parte de una campaña mundial.
«Los atacantes detrás de MosaicLoader crearon una pieza de malware que puede entregar cualquier carga útil en el sistema, por lo que es potencialmente rentable como servicio de entrega», dijeron los investigadores de Bitdefender en un informe compartido con The Hacker News. «El malware llega a los sistemas objetivo haciéndose pasar por instaladores crackeados. Descarga un rociador de malware que obtiene una lista de URLs del servidor C2 y descarga las cargas útiles de los enlaces recibidos.»
El malware ha sido llamado así por su sofisticada estructura interna que está orquestada para evitar la ingeniería inversa y evadir el análisis.
Los ataques con MosaicLoader se basan en una táctica bien establecida para la distribución de malware llamada envenenamiento por optimización de motores de búsqueda (SEO), en la que los ciberdelincuentes compran espacios publicitarios en los resultados de los motores de búsqueda para impulsar sus enlaces maliciosos como resultados principales cuando los usuarios buscan términos relacionados con el software pirata.
Tras una infección exitosa, el dropper inicial basado en Delphi -que se hace pasar por un instalador de software- actúa como punto de entrada para obtener las cargas útiles de la siguiente fase desde un servidor remoto y también añade exclusiones locales en Windows Defender para los dos ejecutables descargados en un intento de frustrar el análisis antivirus.
Vale la pena señalar que tales exclusiones de Windows Defender se pueden encontrar en las claves de registro que se enumeran a continuación:
Exclusiones de archivos y carpetas – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusiones\Rutas
Exclusiones de tipo de archivo – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusiones\Extensiones
Exclusiones de procesos – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusiones\Procesos
Uno de los binarios, «appsetup.exe», está concebido para lograr la persistencia en el sistema, mientras que el segundo ejecutable, «prun.exe», funciona como un descargador para un módulo rociador que puede recuperar y desplegar una variedad de amenazas desde una lista de URLs, que van desde ladrones de cookies hasta mineros de criptomonedas, e incluso implantes más avanzados como Glupteba.
«prun.exe» también destaca por su bombardeo de técnicas de ofuscación y antirretroceso que implican la separación de trozos de código con bytes de relleno aleatorios, con el flujo de ejecución diseñado para «saltar estas partes y ejecutar sólo los trozos pequeños y significativos.»
Dadas las amplias capacidades de MosaicLoader, los sistemas comprometidos pueden ser cooptados en una red de bots que el actor de la amenaza puede explotar para propagar múltiples y cambiantes conjuntos de sofisticado malware, incluyendo tanto el disponible públicamente como el personalizado, para obtener, ampliar y mantener el acceso no autorizado a los ordenadores y redes de las víctimas.
«La mejor manera de defenderse de MosaicLoader es evitar la descarga de software crackeado de cualquier fuente», dijeron los investigadores. «Además de ir en contra de la ley, los ciberdelincuentes buscan dirigirse y explotar a los usuarios que buscan software ilegal», y añaden que es esencial «comprobar el dominio de origen de cada descarga para asegurarse de que los archivos son legítimos».
Espero que les guste la noticia, no olviden compartir en las redes sociales.
Este es un tipo de malware que se parece a los misiles portátiles Haveline (o como sea que se escriba), derriba a su atacante y no hay forma de evadirlo. Cada vez estan más sofisticados.