窃密程序利用免费软件搜索广告传播，还能躲避Microsoft Defender

朦胧的风

安全厂商Bitdefender发现一只恶意程序利用破解软件的搜索广告传播，还具有躲避微软杀毒软件Microsoft Defender侦测的能耐。

名为MosaicLoader恶意程序的文件信息刻意模仿合法付费软件，再利用付费搜索广告传播，吸引想找破解软件的用户上钩，借此感染其设备。它其实是一个下载器，能下载任何恶意酬载到受害系统中。一旦植入到用户系统内，它会创建一连串复杂的行程。Bitdefender之所以将这只恶意软件命名为MosaicLoader，是因为它内部结构复杂，可防止研究人员分析及逆向工程。

MosaicLoader进入受害者系统后和许多恶意程序行为相似，目的在多阶段下载恶意程序以回避侦测，但有一项躲避侦测技巧十分特殊。研究人员发现它会在微软杀毒软件Microsoft Defender（或原名Windows Defender）中加入本机排除项（local exclusion），使杀毒软件扫描时跳过 \PublicGaming\文件夹下的特定文件名，如prun.exe、appsetup.exe）以躲避侦测，这些文件名都是MosaicLoader下载的恶意程序之一。最后，MosaicLoader和外在C&C服务器创建连接，下载多种威胁，包括简单的cookie窃取程序、挖矿软件，以及Glupteba后门程序，用于窃取用户计算机重要信息，或产生加密货币以谋利。

目前MosaicLoader是由谁开发不得而知。研究人员分析它的感染及下载过程和之流传过的Warzone RAT一样，但两者用的C&C服务器及下载组件则不相关。

由于MosaicLoader主要锁定想寻找破解软件的用户下手，因此研究人员呼吁用户不要从陌生网站下载和安全应用程序。

https://baijiahao.baidu.com/s?id=1706163277571519871

aphorism

这个有病毒样本吗