Détecter le malware MosaicLoader

Détecter le malware MosaicLoader

Un logiciel malveillant d'un genre nouveau baptisé MosaicLoader sévit en ce moment via Internet. Conçu pour déjouer la surveillance de Windows Defender, il installe discrètement de dangereux malwares sur les PC infectés.

Fin juillet 2021, les chercheurs en sécurité de Bitdefender ont identifié un malware d'un genre nouveau ciblant les ordinateurs sous Windows. Dans un rapport partagé avec The Hacker News, les experts de cette société spécialisée dans la cybersécurité détaillent le principe de fonctionnement vicieux et astucieux d'un cheval de Troie qu'ils ont baptisé MosaicLoader et qui aurait déjà fait de nombreuses victimes à travers le monde.

Grande originalité de ce malware, son mode de diffusion. De fait, selon les experts de Bitdefender, MosaicLoader se répand à travers le Web, en se cachant dans des publicités des moteurs de recherche. Il viserait plus spécifiquement les requêtes concernant des versions piratées de logiciels, et notamment la recherche de "cracks", ces outils qui permettent de déjouer les protections lors de l'installation d'une application (numéros de série et autres dispositifs), souvent en patchant le programme avec un code. D'autres spécialistes soulignent que MosaicLoader peut également se dissimuler directement dans l'installateur du logiciel piraté.

Une fois dans l'ordinateur de la victime, MosaicLoader met immédiatement en œuvre une série de processus complexes pour déjouer les dispositifs de protection. Il décompresse d'abord décompresse deux fichiers exécutables – appsetup.exe et prun.exe –, installe une porte dérobée et télécharge aussitôt divers malwares très dangereux – tels que Glupteba, XMRIG ou AsyncRAT – pour voler des mots de passe et des informations confidentielles, miner des cryptomonnaies, prendre le contrôle du PC ou encore transformer la machine en "bot" – robot utilisé à des fins malveillantes. Surtout, il rend ces menaces indétectables d'outils de sécurité comme Windows Defender grâce à des exclusions à l'aide de commandes PowerShell. Ce qui explique l'alerte lancée par Bitdefender.

Comment se protéger de MosaicLoader ? 

Pour éviter d'être infecté – avec les conséquences que l'on imagine –, les chercheurs de Bitdefender recommandent bien évidemment de pas télécharger de logiciel piraté et de ne pas cliquer sur les publicités pour les cracks, ce qui semble assez trivial. Mais ils expliquent également que l'on peut savoir si un PC a été contaminé par MosaicLoader en examinant les exclusions de Windows Defender via l'Éditeur du registre de Windows. Une opération qui reste assez simple et qui permet d'éviter les dégâts en attendant que Microsoft mette à jour son outil de sécurité. 

  • Pour cela, avec Windows 10, cliquez sur le menu Démarrer, déroulez la liste des applications jusqu'à la rubrique Outils d'administration Windows, puis cliquez sur Éditeur du Registre
  • Vous pouvez également ouvrir l'Éditeur du registre avec une commande : pressez les touches Windows+R pour accéder à la fenêtre Exécuter, entrez la commande regedit, puis pressez OK. Cette méthode fonctionne sous Windows 7, 8 et 10.
  • Une fois l'Éditeur ouvert, allez dans la colonne de gauche et déroulez successivement les clés suivantes en cliquant dans l'arborescence :  ​​​​​​

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths (chemins)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions (extensions de fichiers)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes (processus)

  • Examinez le contenu de chaque clé dans le volet de droite pour repérer tout élément suspect. En principe, chaque clé ne contient qu'un élément "par défaut". Si vous trouvez des éléments que vous n'avez pas exclus vous-même, c'est mauvais signePour supprimer un intrus créé par MosaicLoader, faites un clic droit dessus et sélectionnez Supprimer dans le menu contextuel.
  • Enfin, cela va sans dire ou presque, utilisez Windows Update pour mettre à jour tous les composants de Windows – y compris Windows Defender – avec les correctifs de Microsoft. De la même façon, utilisez la fonction de mise à jour de votre suite de sécurité si vous utilisez un outil "tiers".

Merci à Bazfile pour les captures d'écran de MosaicLoader in vitro !