Un nuevo programa de malware utiliza anuncios pagados en los resultados de búsqueda para dirigirse a los usuarios que buscan software pirateado. Utiliza técnicas sofisticadas para ocultar su presencia mientras lanza una caja de Pandora de programas maliciosos a los sistemas de las víctimas.
Compañía de seguridad Bitdefender detallado el funcionamiento interno del software MosaicLoader, que imita el software legítimo relacionado con el juego para evitar la detección.
El informe de Bitdefender encontró la caída inicial en el malware almacenado en archivos que afirman proporcionar instaladores de software defectuosos. La compañía dijo que los ciberdelincuentes parecen comprar anuncios de pago por clic (PPC) relacionados con software pirateado y luego insertan estos enlaces a malware en sus anuncios.
El programa inicial actúa como un instalador del software «rociador de malware» que descarga desde un servidor de comando y control (C2). Este malware proviene de una lista de fuentes mantenidas por los delincuentes detrás del software, que incluyen URL dedicadas a alojar archivos de malware y canales públicos de Discord.
El malware instalado por el programa incluye el simple robo de cookies que pueden usarse para secuestrar las sesiones en línea de las víctimas. Pueden filtrar datos de inicio de sesión de Facebook, lo que permite a los ciberdelincuentes hacerse cargo de la cuenta de una víctima, realizar publicaciones que afecten la reputación de la víctima o continuar propagando malware.
Otro malware instalado por el cuentagotas incluye mineros de criptomonedas y la puerta trasera Glupteba, que es un programa de botnet que lanza múltiples ataques en navegadores y enrutadores en el hogar y sigue sus instrucciones a través de la cadena de bloques de Bitcoin.
Después de descargar sus archivos iniciales, se utiliza la aplicación de cuentagotas de malware Potencia Shell para excluirlos del escáner anti-malware de Windows Defender. Luego registra un ejecutable en el registro de Windows e instala un servicio para volver a ingresar esa entrada si el usuario la elimina.
El análisis de BitDefender muestra que el malware utiliza muchos trucos para evitar la detección. Cree carpetas que parezcan directorios de juegos para almacenar sus archivos y utilice procesos que parecen ejecutar software desde su GPU NVIDIA.
El malware también oculta sus actividades rompiendo su código en pequeños trozos y saltando entre ellos. También utiliza una gran cantidad de operaciones matemáticas para generar datos que el programa necesita, haciendo que su código se parezca más a piezas de datos. También incluye datos de relleno que no hacen más que introducir más ruido en el código, lo que dificulta la resolución de problemas por parte de los investigadores de seguridad.
A diferencia de su ofuscación de código, los autores del malware apenas cifraron la URL del servidor C2. Esto permitió a los investigadores encontrar la dirección IP del servidor y conectarlo a varias otras campañas de malware.
