Geçtiğimiz hafta salı günü BitDefender’ın siber güvenlik araştırmacıları oldukça ilginç gizlenme tekniklerine sahip MosaicLoader adlı bir zararlı keşfetti.
BitDefender araştırmacıları 20 Temmuz 2021 tarihinde MosaicLoader adı verilen zararlı yazılım tespit etti. Söylenenlere göre bulaştığı sistemlerde kendisini Microsoft Defender‘ın istisnalar listesine ekleyerek Defender tarafından yürütülecek taramalara karşı görünmez hale getiriyordu.
TheHackerNews ile bulgularını paylaşan BitDefender araştırmacıları, bu yeni zararlının temelde diğer kötü amaçlı yazılımları sistemlere bulaştırmak amacıyla kullanılan bir “loader” olduğunu belirtti. Saldırganlar için siber suç pazarında oldukça kâr getirecek cinsten olan bu zararlı, “zararlı yazılım teslimatı” yapma tekniklerine sahip.
MosaicLoader crackli yazılımlar gibi davranarak sistemlere bulaşıyor ve C2 (komuta kontrol) sunucusuna bağlanarak listeye göre zararlı yazılımları etkilediği sistemlere indiriyor. Araştırmalara göre “loader” tarafından ilk olarak bir ZIP dosyası indiriliyor ve çıkartılıyor. Daha sonra ZIP içinden çıkartılan “appsetup.exe” adında bir başka yazılım çalıştırılıyor. Bu yazılım ise “prun.exe” adlı zararlı parçacığını çalıştırmak için kullanılıyor.
“prun.exe” ise çeşitli güvenlik mekanizmalarını atlatmak için kullanılan bir başka yapıyı indiriyor ve çalıştırıyor. Bu mekanizmanın çalışmasından sonra asıl kötü amaçlı kod sistemde aktif hale geliyor. MosaicLoader, bu şekilde tersine mühendislik çalışmalarından ve analizlerden rahatlıkla kaçabilmiş.
Ayrıca MosaicLoader’ın daha fazla kullanıcıya bulaşabilmesi için saldırganlar birtakım SEO tekniklerini izledi. Arama motorlarının üst kısımlarından reklam alanları alarak zararlı yazılımı içeren sahte sayfaları hedef kelimelerde yukarıda tutmayı başardılar.
Başarılı bir bulaşma sonrası MosaicLoader kendisini Windows Defender’ın aşağıdaki kayıt defteri konumlarında yer alan yerel dışlananlar listesine ekliyor. Böylece başlatılabilecek herhangi bir taramadan başarıyla kaçınıyor.
- Dışlanan Klasörler ve Dosyalar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- Dosya Türü Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
- Çalışan Process/Süreç Bazında Dışlananlar – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
MosaicLoader’in sisteme yüklediği “appsetup.exe” isimli yürütülebilir dosya, kalıcılığı sağlamak için oluşturulmuş. İkinci dosya olan “prun.exe” ise komuta kontrol sunucusunda yüklenmesi istenen bir başka zararlıları yüklemekle sorumlu. Parola ve çerez çalıcılar, miner’lar ve benzer zararlıları sisteme yüklemek için kullanılıyor.
Ayrıca “prun.exe” dosyası baytlara ayırma ve çeşitli anti-analiz tekniklerinin yanı sıra sadece zararlının çalışması için önemli olan parçaları yürütmek gibi yöntemleri de barındırıyor. MosaicLoader önümüzdeki zaman dilimi içerisinde siber suçluların çeşitli amaçlarla kullanacağı ellerindeki güçlü bir oyuncak olabilir.
MosaicLoader ve benzeri zararlılardan korunmak için yapmanız gereken ise korsan yazılımlardan uzak durmak. Zira saldırganların hedeflediği kitle yasa dışı içeriklerle ve korsan yazılımlarla haşir neşir olan kullanıcılar. Ayrıca nereden olursa olsun bir dosya indirdikten sonra mutlaka güvenlik yazılımınızla kontrol etmelisiniz.
