这种新的恶意软件隐藏在 Windows Defender 排除项中以逃避检测

周二，网络安全研究人员揭开了一个名为“ MosaicLoader ”的先前未记录的恶意软件毒株的神秘面纱，该毒株将寻找破解软件的个人作为全球活动的一部分。

Bitdefender 研究人员在与黑客新闻分享的一份报告中说：“MosaicLoader 背后的攻击者创建了一种恶意软件，可以在系统上传送任何有效载荷，使其作为传送服务有可能获利。” “恶意软件通过伪装成破解的安装程序到达目标系统。它下载恶意软件喷雾器，从 C2 服务器获取 URL 列表，并从接收到的链接下载有效负载。”

该恶意软件之所以如此命名，是因为其精心设计的复杂内部结构可防止逆向工程和逃避分析。

涉及 MosaicLoader 的攻击依赖于一种成熟的恶意软件传送策略，称为搜索引擎优化 (SEO) 中毒，其中网络犯罪分子在搜索引擎结果中购买广告位，以在用户搜索与盗版软件相关的术语时将其恶意链接提升为最佳结果。

成功感染后，最初的基于 Delphi 的 dropper（伪装成软件安装程序）充当入口点，从远程服务器获取下一阶段的有效负载，并在 Windows Defender 中为两个下载的可执行文件添加本地排除项以尝试阻止防病毒扫描。

值得注意的是，可以在下面列出的注册表项中找到此类Windows Defender排除：

• 文件和文件夹排除 – HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows Defender \ Sumdmentions \ Paths
• 文件类型排除 – HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows Defender \ Sumdmentions \ Extensions
• 过程排除 – HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Demarusions \进程

其中一个二进制文件“appsetup.exe”旨在实现系统上的持久性，而第二个可执行文件“prun.exe”用作喷雾器模块的下载程序，该模块可以检索和部署来自URL 列表，从 cookie 窃取程序到加密货币挖掘程序，甚至更高级的植入程序，如Glupteba。

“prun.exe”还以其大量的混淆和反逆向技术而著称，这些技术涉及用随机填充字节分隔代码块，其执行流程旨在“跳过这些部分，只执行小的、有意义的块”。

鉴于 MosaicLoader 的广泛功能，受感染的系统可以被纳入僵尸网络，然后威胁参与者可以利用该僵尸网络传播多组不断发展的复杂恶意软件，包括公开可用的和定制的恶意软件，以获取、扩展和维护未经授权的访问受害计算机和网络。

“防御 MosaicLoader 的最佳方法是避免从任何来源下载破解软件，”研究人员说。“除了违法之外，网络犯罪分子还会瞄准和利用搜索非法软件的用户，”并补充说，“检查每次下载的源域以确保文件合法”至关重要。