BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader ismi verilen ziyanlı yazılım tespit etti. Söylenenlere göre bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafınca yürütülecek taramalara karşı görünmez hale getiriyordu.
TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde başka berbat emelli yazılımları sistemlere bulaştırmak emeliyle kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber cürüm pazarında pek kâr getirecek cinsten olan bu ziyanlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.
MosaicLoader crackli yazılımlar üzere davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye nazaran ziyanlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara göre “loader” tarafınca birinci vakit içinderda bir ZIP evrakı indiriliyor ve çıkartılıyor. sonrasındasında ZIP ortasından çıkartılan “appsetup.exe” isminde bir öbür yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” isimli ziyanlı parçacığını çalıştırmak için kullanılıyor.
“prun.exe” ise çeşitli güvenlik sistemlerini atlatmak için kullanılan bir öteki yapıyı indiriyor ve çalıştırıyor. Bu düzeneğin çalışmasından daha sonra asıl berbat maksatlı kod sistemde faal hale geliyor. MosaicLoader, bu türlü bilakis mühendislik çalışmalarından ve tahlillerden rahatlıkla kaçabilmiş.
Ayrıyeten MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak ziyanlı yazılımı içeren düzmece sayfaları gaye sözlerde üstte tutmayı başardılar.
Başarılı bir bulaşma daha sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri pozisyonlarında yer alan lokal dışlananlar listesine ekliyor. bu biçimdece başlatılabilecek rastgele bir taramadan muvaffakiyetle kaçınıyor.
MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir belge, kalıcılığı sağlamak için oluşturulmuş. İkinci belge olan “prun.exe” ise komuta denetim sunucusunda yüklenmesi istenen bir diğer zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve misal zararlıları sisteme yüklemek için kullanılıyor.
Ayrıyeten “prun.exe” evrakı baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra yalnızca zararlının çalışması için kıymetli olan modülleri yürütmek üzere biçimleri de barındırıyor. MosaicLoader önümüzdeki vakit dilimi içerisinde siber hatalıların çeşitli hedeflerle kullanacağı ellerindeki kuvvetli bir oyuncak olabilir.
MosaicLoader ve gibisi zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Çünkü saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıyeten nereden olursa olsun bir belge indirdikten daha sonra kesinlikle güvenlik yazılımınızla denetim etmelisiniz.
TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde başka berbat emelli yazılımları sistemlere bulaştırmak emeliyle kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber cürüm pazarında pek kâr getirecek cinsten olan bu ziyanlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.
MosaicLoader crackli yazılımlar üzere davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye nazaran ziyanlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara göre “loader” tarafınca birinci vakit içinderda bir ZIP evrakı indiriliyor ve çıkartılıyor. sonrasındasında ZIP ortasından çıkartılan “appsetup.exe” isminde bir öbür yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” isimli ziyanlı parçacığını çalıştırmak için kullanılıyor.
“prun.exe” ise çeşitli güvenlik sistemlerini atlatmak için kullanılan bir öteki yapıyı indiriyor ve çalıştırıyor. Bu düzeneğin çalışmasından daha sonra asıl berbat maksatlı kod sistemde faal hale geliyor. MosaicLoader, bu türlü bilakis mühendislik çalışmalarından ve tahlillerden rahatlıkla kaçabilmiş.
Ayrıyeten MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak ziyanlı yazılımı içeren düzmece sayfaları gaye sözlerde üstte tutmayı başardılar.
Başarılı bir bulaşma daha sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri pozisyonlarında yer alan lokal dışlananlar listesine ekliyor. bu biçimdece başlatılabilecek rastgele bir taramadan muvaffakiyetle kaçınıyor.
- Dışlanan Klasörler ve Evraklar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths
- Evrak Çeşidi Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsExtensions
- Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsProcesses
MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir belge, kalıcılığı sağlamak için oluşturulmuş. İkinci belge olan “prun.exe” ise komuta denetim sunucusunda yüklenmesi istenen bir diğer zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve misal zararlıları sisteme yüklemek için kullanılıyor.
Ayrıyeten “prun.exe” evrakı baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra yalnızca zararlının çalışması için kıymetli olan modülleri yürütmek üzere biçimleri de barındırıyor. MosaicLoader önümüzdeki vakit dilimi içerisinde siber hatalıların çeşitli hedeflerle kullanacağı ellerindeki kuvvetli bir oyuncak olabilir.
MosaicLoader ve gibisi zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Çünkü saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıyeten nereden olursa olsun bir belge indirdikten daha sonra kesinlikle güvenlik yazılımınızla denetim etmelisiniz.