Bitdefender hat eine neue Malwarefamilie entdeckt. Wegen ihres zerstückelten Aufbaus hat sie den Namen MosaicLoader erhalten.
HONEYBEE 20.07.2021 12:13 LESEZEIT: 3 MIN.
Der MosaicLoader lädt je nach Konfiguration verschiedenste Schadmodule auf das System des Opfers herunter. Darunter befinden sich unter anderem Backdoors, Mining Software, Adware und Cookie-Stealer.
Lesen Sie auch
Bogdan Botezatu von Bitdefender im Gespräch mit Tarnkappe.info
Im Paper wird empfohlen, illegale Softwareangebote zu vermeiden (übersetzt aus dem Englischen):
Tarnkappe.info
HONEYBEE 20.07.2021 12:13 LESEZEIT: 3 MIN.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
entdeckt, die Nutzer über vermeintlich gecrackte Software in die Falle lockt. Wegen ihres zerstückelten Aufbaus hat sie den Namen MosaicLoader erhalten.Verbreitung über vermeintlich gecrackte Softwareangebote
Zur Verbreitung buchen die Macher der Malware unter anderem Werbung auf Suchmaschinen. Die gebuchten Suchbegriffe beziehen sich auf gecrackte Software. Doch hinter den Angeboten versteckt sich ausschließlich das Downloadmodul vom MosaicLoader. Dieses lädt wiederum ein weiteres Softwaremodul nach, welches dann ein sogenanntes Spraymodul herunterlädt. Dieses Sprayermodul lädt dann weitere Payloads mit dem eigentlichen Schadcode.Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Mögliche nachgeladene Payloads von MosaicLoader
Der MosaicLoader lädt je nach Konfiguration verschiedenste Schadmodule auf das System des Opfers herunter. Darunter befinden sich unter anderem Backdoors, Mining Software, Adware und Cookie-Stealer.Dateiname | Funktion |
app.exe | Glupteba, ein äußerst raffinierter Backdoor |
askinstall39.exe | Facebook-Cookie-Stealer, stiehlt Login-Cookies von Browsern |
cpu-only,exe | XMRig, Miner für Kryptowährungen |
customer2.exe | Facebook-Cookie-Stealer |
ebook.exe | Icecream EBook Reader Software, gebündelt mit anderen potenziell unerwünschten Anwendungen |
file3.exe | Glupteba |
file4.exe | Powershell Dropper |
jooyu.exe | CookieStealer, sucht in den Browserdaten nach beliebigen Login-bezogenen Cookies |
KiffApp2.exe | Presenoker Adware |
liguifang.exe | AsyncRAT, kommuniziert mit gamegame[.]info, hat Keylogging-Funktionen |
setup.exe | Facebook-Cookie-Stealer |
Setup2.exe | ein Installationsprogramm, das mehrere Payloads aus dieser Tabelle bündelt (liguifang, file4, kunde2) |
SX.x.exe | Glupteba |
v2.exe | XMRig, Miner für Kryptowährungen |
Malware weltweit entdeckt
Aktivitäten der MosaicLoader sind weltweit zu finden. Einzig und allein sind Russland und China scheinbar kein Ziel der Schadsoftware.Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
MosaicLoader setzt Anti-Analyse-Techniken zur Verschleierung ein.
Bitdefender hat dieser Malware den Namen MosaicLoader gegeben, weil diese eine komplexe interne Struktur aufweist. Das soll Malwareanalysten verwirren und Reverse Engineering erschweren. Dazu werden verschiedenste Anti-Analyse-Techniken, wie zum BeispielDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, eingesetzt. Der Code wird unter anderem in viele kleine Abschnitte unterteilt, zwischen denen quer durch das Programm hin und her gesprungen wird. Auch werden nicht verwendete Abschnitte in das Programm eingefügt, die aber überhaupt nicht zum Einsatz kommen. Daneben gibt es auch Code, der den Prozessor beschäftigt, aber nichts Sinnvolles erledigt. Um Malwareanalysten den Spaß bei der Arbeit zu vermiesen, erzeugt das Schadprogramm softwaretechnische Fehlermeldungen, zumal diese die Analyse extrem langwierig und anstrengend machen können.Lesen Sie auch
Bogdan Botezatu von Bitdefender im Gespräch mit Tarnkappe.info
Bitdefender stellt MosaicLoader Whitepaper bereit
Unter dem TitelDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
stellt Bitdefender ein Whitepaper mit weiteren Details bereit. Auf 15 Seiten (mit vielen Bildern) wird die Funktionsweise der Malware MosaicLoader erläutert.Im Paper wird empfohlen, illegale Softwareangebote zu vermeiden (übersetzt aus dem Englischen):
Schlussendlich können Tools wie
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und der gesunde Menschenverstand häufig dazu beitragen, Infektionen mit Schadsoftware zu vermeiden. Zumindest, wenn die Gier den Verstand noch nicht ganz ausgeschaltet hat. Daher Augen auf bei der Softwarebeschaffung!Tarnkappe.info
Anhänge
Zuletzt bearbeitet:
