窃密程式利用免费软件搜寻广告散布，还能躲避Microsoft Defender

安全厂商Bitdefender发现一只恶意程式利用破解软件的搜寻广告散布，还具有躲避微软防毒软件Microsoft Defender侦测的能耐。

名为MosaicLoader恶意程式的档案资讯刻意模仿合法付费软件，再利用付费搜寻广告散布，吸引想找破解软件的用户上钩，借此感染其装置。它其实是一个下载器，能下载任何恶意酬载到受害系统中。一旦植入到用户系统内，它会建立一连串复杂的行程。Bitdefender之所以将这只恶意软件命名为MosaicLoader，是因为它内部结构复杂，可防止研究人员分析及逆向工程。

MosaicLoader进入受害者系统后和许多恶意程式行为相似，目的在多阶段下载恶意程式以回避侦测，但有一项躲避侦测技巧十分特殊。研究人员发现它会在微软防毒软件Microsoft Defender（或原名Windows Defender）中加入本机排除项（local exclusion），使防毒软件扫描时跳过 \\PublicGaming\\资料夹下的特定档名，如prun.exe、appsetup.exe）以躲避侦测，这些档名都是MosaicLoader下载的恶意程式之一。最后，MosaicLoader和外在C&C服务器建立连线，下载多种威胁，包括简单的cookie窃取程式、挖矿软件，以及Glupteba后门程式，用于窃取用户电脑重要资讯，或产生加密货币以谋利。

目前MosaicLoader是由谁开发不得而知。研究人员分析它的感染及下载过程和之流传过的Warzone RAT一样，但两者用的C&C服务器及下载元件则不相关。

由于MosaicLoader主要锁定想寻找破解软件的用户下手，因此研究人员呼吁用户不要从陌生网站下载和安全应用程序。