MosaicLoader: Neue Malwarefamilie tarnt sich als gecrackte Software

Artikel ansehen

Hier die URLs, die zur Verteilung und den Download des Payloads herangezogen werden:

URLs

t1[.]cloudshielding[.]xyz
c1[.]checkblanco[.]xyz
s1[.]chunkserving[.]com
m1[.]uptime66[.]com
5a014483-ff8f-467e-a260-28565368d9be[.]certbooster[.]com
0129e158-aa17-4900-99a6-30f4a49bd0a4[.]nordlt[.]com
integral[.]hacking101[.]net

IP Address

195.181.169.92

The response from integral[.]hacking101[.]net contains a list of URLs that host malware. Some have obscure domain
names, specifically registered for hosting malware, while others are legitimate Discord URLs with files uploaded to a public channel.

hxxp://45[.]15[.]143[.]191/redirects/v2.exe
hxxp://45[.]15[.]143[.]191/uploads/cpu-only.exe
hxxp://45[.]15[.]143[.]191/files/file1.exe
hxxp://45[.]15[.]143[.]191/files/file2.exe
hxxp://45[.]15[.]143[.]191/files/file3.exe
hxxp://45[.]15[.]143[.]191/files/file4.exe
hxxp://45[.]15[.]143[.]191/files/file5.exe
hxxp://45[.]15[.]143[.]191/files/file6.exe
hxxp://45[.]15[.]143[.]191/files/file7.exe
hxxp://45[.]15[.]143[.]191/files/file8.exe

hxxps://cdn[.]discordapp[.]com/attachments/838446784648052797/841279408946020352/SX.x.1
hxxp://bandshoo[.]info/app.exe
hxxp://file[.]ekkggr3[.]com/lqosko/p18j/customer2.exe
hxxp://45[.]15[.]143[.]191/files/file9.exe
hxxps://cdn[.]discordapp[.]com/attachments/826897158568804390/839908231831617556/jooyu.
exe
hxxps://cdn[.]discordapp[.]com/attachments/826897158568804390/835108974495662080/setup.
exe
hxxp://privacytools[.]xyz/downloads/toolspab2.exe
hxxps://kiff[.]store/builds/KiffApp2.exe
hxxp://md8[.]8eus[.]pw/download.php
hxxps://jom[.]diregame[.]live/userf/2201/google-game.exe
hxxps://cdn[.]discordapp[.]com/attachments/826897158568804390/842095400453406720/Setup2.exe
hxxp://moonlabmediacompany[.]com/campaign1/SunLabsPlayer.exe
hxxp://www[.]turbosino[.]com/askhelp39/askinstall39.exe
hxxps://2no[.]co/26ica6

- Der eingesetzte Downloader:

Die meisten der anfänglichen Downloader, die Bitdefender analysiert hat, haben Symbole und Versionsinformationen, die legitimen Anwendungen ähneln.
Oft genug, ist beispielsweise zu sehen, dass dropper.exe (von Bitdefender umbenannt) einen NVIDIA-Prozess imitiert.
Der Dropper hat außerdem eine widerrufene digitale Signatur, die nichts mit NVIDIA zu tun hat, was darauf hinweist, dass er entweder kryptografisch unsicher ist oder von Malware missbraucht wurde. Etwa die Hälfte der von Bitdefender analysierten Dropper schienen ausführbare Delphi-Dateien zu sein, aber Delphi Disassembler erkennen sie nicht als gültige Dateien. Um ihren Einstiegspunkt herum enthielten sie nativen C/C+±Code, der ähnlich strukturiert war, wie bei der anderen Hälfte der analysierten Beispiele.

Erkennt nun VirusTotal die gecrackte Software?

Japp…