安全厂商Bitdefender发现一只恶意程序利用破解软件的搜索广告传播,还具有躲避微软杀毒软件Microsoft Defender侦测的能耐。
名为MosaicLoader恶意程序的文件信息刻意模仿合法付费软件,再利用付费搜索广告传播,吸引想找破解软件的用户上钩,借此感染其设备。它其实是一个下载器,能下载任何恶意酬载到受害系统中。一旦植入到用户系统内,它会创建一连串复杂的行程。Bitdefender之所以将这只恶意软件命名为MosaicLoader,是因为它内部结构复杂,可防止研究人员分析及逆向工程。
MosaicLoader进入受害者系统后和许多恶意程序行为相似,目的在多阶段下载恶意程序以回避侦测,但有一项躲避侦测技巧十分特殊。研究人员发现它会在微软杀毒软件Microsoft Defender(或原名Windows Defender)中加入本机排除项(local exclusion),使杀毒软件扫描时跳过 \PublicGaming\文件夹下的特定文件名,如prun.exe、appsetup.exe)以躲避侦测,这些文件名都是MosaicLoader下载的恶意程序之一。最后,MosaicLoader和外在C&C服务器创建连接,下载多种威胁,包括简单的cookie窃取程序、挖矿软件,以及Glupteba后门程序,用于窃取用户计算机重要信息,或产生加密货币以谋利。
目前MosaicLoader是由谁开发不得而知。研究人员分析它的感染及下载过程和之流传过的Warzone RAT一样,但两者用的C&C服务器及下载组件则不相关。
由于MosaicLoader主要锁定想寻找破解软件的用户下手,因此研究人员呼吁用户不要从陌生网站下载和安全应用程序。