Vi er i sæsonen med aggressive malware-kampagner, tydeligt af det øgede antal angreb opdaget og analyseret af sikkerhedsforskere. Én specifik type malware er særlig vigtig for at gennemføre vellykkede distributionskampagner – dropperen.
NullMixer er et eksempel på en ny dropper, der hjælper med installationen af en række andre trojanske heste. Dropperen blev for nylig opdaget af Kasperskys Secure List-trusselsjagthold.
Så, hvad skal du vide om NullMixers muligheder og infektionsvej?
NullMixer: Teknisk oversigt
Først og fremmest, det skal nævnes, at dropperen fører til en infektionskæde af flere malware-familier. Den indledende infektion er baseret på brugerudførelse. Med andre ord, det potentielle offer skal interagere med et ondsindet link og downloade et password-beskyttet ZIP/RAR-arkiv med en ondsindet fil, der udpakkes og udføres manuelt. Uddelingen finder sted d krakkede softwarewebsteder. Malware-operatørerne er afhængige af SEO-tricks for at blive vist højere i søgeresultaterne, øger dermed chancen for en vellykket infektion.
Hvordan sker en infektion med NullMixer?
Første, brugeren skal besøge et af de crackede softwarewebsteder, der er implementeret til distribution af NullMixer. De næste trin er følgende:
- Brugeren klikker på downloadlinket for den ønskede software.
- Linket omdirigerer brugeren til et andet ondsindet websted.
- Det ondsindede websted omdirigerer brugeren til en tredjeparts IP-adressewebside.
- Websiden instruerer brugeren om at downloade en kodeordsbeskyttet ZIP-fil fra et fildelingswebsted.
- Brugeren udpakker den arkiverede fil med adgangskoden.
- Brugeren kører installationsprogrammet og udfører malwaren.
Den faktiske infektion opstår ved udpakning af win-setup-i864.exe-filen fra det downloadede adgangskodebeskyttede arkiv, og derefter køre den.
Hvad er win-setup-i864.exe?
Win-setup-i864.exe er en NSIS (Nullsoft Scriptable Install System) installationsprogram ret populært blandt softwareudviklere. Desværre, malware-udviklere drager også fordel af denne eksekverbare. I dette tilfælde, den faldt og lancerede en anden fil kaldet setup_installer.exe, en SFX-arkivindpakning til en Windows-eksekverbar.
Det er faktisk setup_installer.exe, der taber adskillige ondsindede filer. Men, i stedet for at lancere dem alle, dropperen lancerer en enkelt eksekverbar, som er startkomponenten i NullMixer.
"NullMixers starter starter alle de droppede eksekverbare filer. For at gøre dette, den indeholder en liste over hårdkodede filnavne, og starter dem én efter én ved hjælp af 'cmd.exe',”Hedder det i rapporten.
Hvilken malware dropper NullMixer?
Listen over tilknyttede malware-familier indeholder malware-indlæsere, infostillere, udskæring af malware, pay-per-install og adware, såsom SmokeLoader, RedLine stjæler, PseudoManuscrypt, ColdStealer, CsdiMonetize, Disbuk, Fabookie, DanaBot, Generisk.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Joker, PrivateLoader, Satacom, GCleaner, Vidar.
"Siden begyndelsen af året har vi blokeret forsøg på at inficere mere end 47,778 ofre verden over. Nogle af de mest målrettede lande er Brasilien, Indien, Rusland, Italien, Tyskland, Frankrig, Egypten, Tyrkiet og USA," rapporten tilføjet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: