这种新的恶意软件隐藏在Windows Defender排除中以逃避检测

周二，网络安全研究人员揭开了一种以前没有记录的恶意软件毒株的盖子，该毒株被称为“病毒”马赛克装载机“作为全球行动的一部分，这将挑选出搜索破解软件的个人。

Bitdefender研究人员在与《黑客新闻》分享的一份报告中说：“MosaicLoader背后的攻击者创建了一个恶意软件，可以在系统上传送任何有效负载，使其作为传送服务潜在盈利。”。“恶意软件通过伪装成破解安装程序到达目标系统。它下载一个恶意软件喷洒器，从C2服务器获取URL列表，并从收到的链接下载有效负载。”

该恶意软件之所以如此命名，是因为其复杂的内部结构是为了防止逆向工程和逃避分析而精心设计的。

涉及MosaicLoader的攻击依赖于一种成熟的恶意软件交付策略，称为搜索引擎优化（SEO）中毒，即网络犯罪分子在搜索引擎结果中购买广告槽，以便在用户搜索与盗版软件相关的术语时，将其恶意链接提升为首要结果。

成功感染后，最初基于Delphi的滴管—；伪装成软件安装者—；充当从远程服务器获取下一阶段有效负载的入口点，并在Windows Defender中为两个下载的可执行文件添加本地排除，以阻止防病毒扫描。

值得指出的是，这些Windows Defender排除可以在下面列出的注册表项中找到：

• 文件和文件夹排除-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclutions\Path
• 文件类型排除-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclutions\Extensions
• 进程排除-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclutions\Processs

其中一个二进制文件“appsetup.exe”被设计为在系统上实现持久性，而第二个可执行文件“prun.exe”则充当喷雾器模块的下载程序，该模块可以从URL列表中检索和部署各种威胁，从cookie窃取者到加密货币矿工，还有更先进的植入物，比如Glupteba。

“prun.exe”还以其大量混淆和反反转技术而闻名，这些技术涉及使用随机填充字节分离代码块，执行流旨在“跳过这些部分，只执行小的、有意义的块”

考虑到MosaicLoader的广泛功能，受损系统可以被添加到僵尸网络中，然后威胁参与者可以利用该僵尸网络传播多个不断发展的复杂恶意软件集，包括公开可用和定制的恶意软件，以获取、扩展和维护对受害者计算机和网络的未经授权访问。

“抵御MosaicLoader的最佳方法是避免从任何来源下载破解软件，”研究人员说。“除了违法之外，网络犯罪分子还会以搜索非法软件的用户为目标并利用其进行攻击，”他补充说，“检查每一次下载的源域，以确保文件合法。”