Исследователи из Bitdefender недавно обнаружили новое семейство малвари, которое распространяется по всему миру. По словам экспертов, у ВПО отсутствуют конкретные таргеты и распространяется оно через платную рекламу в интернете, нацеленную на пользователей, ищущих пиратское ПО и игры.
Классический сценарий: маскировка под установщик искомой программы, затем подгружается список URLs и с них начинаются поставляться необходимые данные. Судя по исследованию, главным его отличием является нестандартная техника обфускации для сокрытия следов присутствия, обхода антивирусных решений и усложнения расследования, в результате которой получается мозаичная структура - отсюда и название. Дальше происходит все как у всех: маскировка под легитимные процессы, установка в качестве сервиса, разные методы антифорензики и т.д.
Является универсальным транспортом для любого другого ВПО/полезной нагрузки. Новым оно является именно из-за своих транспортных целей: заразить как можно больше различных целей, чтоб затем уже распространять все что потребуется.
Рекомендации
Так как целью MosaicLoader являются пользователи, которые ищут пиратское ПО в интернете, то главная рекомендация - не делать так, либо загружать искомые приложения с надежных сайтов.
Для компаний с EDR решениями крайне желательно проверить IOCs в инфраструктуре мониторинга. Все-таки большинство компаний в наше время работают удаленно, и они подвержены большему риску к загрузке пиратских приложений.
