情境示意圖,圖片來源/Bitdefender

安全廠商Bitdefender發現一隻惡意程式利用破解軟體的搜尋廣告散布,還具有躲避微軟防毒軟體Microsoft Defender偵測的能耐。

名為MosaicLoader惡意程式的檔案資訊刻意模仿合法付費軟體,再利用付費搜尋廣告散布,吸引想找破解軟體的用戶上鈎,藉此感染其裝置。它其實是一個下載器,能下載任何惡意酬載到受害系統中。一旦植入到用戶系統內,它會建立一連串複雜的行程。Bitdefender之所以將這隻惡意軟體命名為MosaicLoader,是因為它內部結構複雜,可防止研究人員分析及逆向工程。

MosaicLoader進入受害者系統後和許多惡意程式行為相似,目的在多階段下載惡意程式以迴避偵測,但有一項躲避偵測技巧十分特殊。研究人員發現它會在微軟防毒軟體Microsoft Defender(或原名Windows Defender)中加入本機排除項(local exclusion),使防毒軟體掃瞄時跳過 \PublicGaming\資料夾下的特定檔名,如prun.exe、appsetup.exe)以躲避偵測,這些檔名都是MosaicLoader下載的惡意程式之一。最後,MosaicLoader和外在C&C伺服器建立連線,下載多種威脅,包括簡單的cookie竊取程式、挖礦軟體,以及Glupteba後門程式,用於竊取用戶電腦重要資訊,或產生加密貨幣以謀利。

目前MosaicLoader是由誰開發不得而知。研究人員分析它的感染及下載過程和之流傳過的Warzone RAT一樣,但兩者用的C&C伺服器及下載元件則不相關。

由於MosaicLoader主要鎖定想尋找破解軟體的用戶下手,因此研究人員呼籲用戶不要從陌生網站下載和安全應用程式。

 

熱門新聞

Advertisement