Este nuevo malware se esconde entre las excepciones en Windows Defender para evitar ser detectado

ventanas de malware informático

Los investigadores de seguridad cibernética levantaron el martes la tapa de una cepa de malware previamente no documentada llamada «Cargador de mosaicos«, que excluye a las personas que buscan software descifrado como parte de una campaña global.

«Los atacantes detrás de MosaicLoader han creado malware que puede entregar cualquier carga útil al sistema, lo que lo hace potencialmente rentable como servicio de entrega», dijeron los investigadores de Bitdefender en un informe compartido con The Hacker News. «El malware llega a los sistemas de destino haciéndose pasar por instaladores descifrados. Descarga un aerosol de malware que recupera una lista de URL del servidor C2 y descarga contenido de los enlaces recibidos».

ventanas de malware informático

El malware recibió ese nombre debido a su estructura interna sofisticada, que está organizada para evitar la ingeniería inversa y evitar el análisis.

Los ataques que involucran a MosaicLoader se basan en una táctica de entrega de malware bien establecida llamada envenenamiento de optimización de motores de búsqueda (SEO), donde los ciberdelincuentes compran bloques de anuncios en los resultados del motor de búsqueda para aumentar sus enlaces maliciosos como los mejores resultados cuando los usuarios buscan términos relacionados con software pirateado.

Después de una infección exitosa, el cuentagotas original basado en Delphi, que se hace pasar por un instalador de software, actúa como un punto de entrada para recuperar datos en la siguiente fase desde un servidor remoto y también agrega una exclusión local en Windows Defender para dos ejecutables descargados. frustrar el análisis antivirus.

ventanas de malware informático

Vale la pena señalar que tales excepciones de Windows Defender se pueden encontrar en las claves de registro que se enumeran a continuación:

  • Exclusiones de archivos y carpetas: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows Defender Exclusions Paths
  • Exclusiones de tipo de archivo: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsExtensions
  • Excepciones de proceso: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsProcesses

Uno de los archivos binarios, «appsetup.exe», está diseñado para ser estable en el sistema, mientras que el otro ejecutable, «prun.exe», actúa como descargador del módulo de aplicación, que puede cargar y desplegar varias amenazas de una lista. de URLs. , desde ladrones de cookies hasta mineros de criptomonedas e incluso implantes más avanzados como Glupteba.

«prun.exe» también se destaca por su afluencia de confusión y técnicas anti-reversa, que implican separar partes de código con bytes de relleno aleatorios, y el proceso de ejecución está diseñado para «omitir estas secciones y ejecutar solo secciones pequeñas y significativas».

mapa de malware en vivo

Debido a las amplias capacidades de MosaicLoader, los sistemas comprometidos pueden incorporarse a una botnet, que luego puede ser explotada por un actor de amenazas para propagar más conjuntos de malware sofisticado y en evolución, incluido el malware disponible públicamente y personalizado, para obtener, propagar y mantener. acceso no autorizado a las computadoras y redes de las víctimas.

«La mejor manera de defenderse contra MosaicLoader es evitar descargar software pirateado de cualquier fuente», dijeron los investigadores. “Además de estar en contra de la ley, los ciberdelincuentes apuntan y buscan usuarios que buscan software ilegal”, agregó, agregando el dominio de origen de cada descarga para asegurarse de que los archivos sean legítimos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática