MosaicLoader

新手のマルウェアローダーの活動が観測されています。
名前はMosaicLoaderです。
マルウェアのペイロード(情報収集を行うなどの目的の内容を実行する部分)の開発も盛んですが、それを被害者環境に取り込む部分を実行するローダーの開発も盛んです。
このローダーもそういった新しいローダーのひとつです。
こんな特徴があります。

  • 細かなモジュールに分割実装されており、動作を追いかけて把握することが困難な設計になっている
    このことからMosaicLoaderと命名されたようです。
  • 特定のペイロードの配布のための仕組みではなく、任意のペイロードの配布ができる構造になっている
    C2からURLのリストを受信し、それを感染場所にダウンロードして設置する機能があります。
    配布物はこれを使用する犯罪者の選択の自由になっています。

配布されるペイロードのなかには例えば次のようなものがあります。

  • FacebookのCookieスティーラー
    この成果としてその人としてFacebookに投稿ができます。
  • Gluptebaバックドアをはじめとした、さまざまなRAT
    キーストロークの記録、マイクからの音声とWebカメラからの画像の録音、スクリーンショットのキャプチャなどが可能になります。

このローダーには、やはり永続化機能も搭載されています。
一度その環境に入り込んでしまうと、巧妙に永続化を図ります。

このマルウェアの現在確認されている初期感染経路は、不正なソフトウェア入手です。
有償のソフトウェアが正規の方法でない方法や場所で配布されている場合があります。
こういった不正配布物の中に、このマルウェアは混ざって存在しています。

被害者にも加害者にもなりたくないものです。

参考記事(外部リンク):MosaicLoader Malware Delivers Facebook Stealers, RATs
threatpost.com/mosaicloader-malware-facebook-stealers/167939/