Wir befinden uns in der Saison aggressiver Malware-Kampagnen, deutlich an der gestiegenen Anzahl von Angriffen, die von Sicherheitsforschern erkannt und analysiert wurden. Eine bestimmte Art von Malware ist besonders wichtig, um erfolgreiche Verbreitungskampagnen durchzuführen – Der Tropfenzähler.
NullMixer ist ein Beispiel für einen neuen Dropper, der die Installation einer Reihe anderer Trojaner unterstützt. Der Dropper wurde kürzlich von Kasperskys Secure List-Team zur Bedrohungssuche entdeckt.
So, Was sollten Sie über die Fähigkeiten und den Infektionspfad von NullMixer wissen??
NullMixer: technischer Überblick
Zunächst, Zu erwähnen ist, dass der Dropper zu einer Infektionskette mehrerer Malware-Familien führt. Die anfängliche Infektion basiert auf der Benutzerausführung. Mit anderen Worten, Das potenzielle Opfer muss mit einem bösartigen Link interagieren und ein passwortgeschütztes ZIP/RAR-Archiv mit einer bösartigen Datei herunterladen, die manuell extrahiert und ausgeführt wird. Die Verteilung erfolgt am gecrackte Software-Websites. Die Malware-Betreiber setzen auf SEO-Tricks, um in den Suchergebnissen weiter oben zu erscheinen, wodurch die Wahrscheinlichkeit einer erfolgreichen Infektion erhöht wird.
Wie passiert eine Infektion mit NullMixer??
Erste, Der Benutzer sollte eine der geknackten Software-Websites besuchen, die für die Verteilung von NullMixer bereitgestellt werden. Die nächsten Schritte sind die folgenden:
- Der Benutzer klickt auf den Download-Link für die gewünschte Software.
- Der Link leitet den Benutzer auf eine andere schädliche Website um.
- Die bösartige Website leitet den Benutzer auf eine IP-Adressen-Webseite eines Drittanbieters um.
- Die Webseite weist den Benutzer an, eine passwortgeschützte ZIP-Datei von einer Filesharing-Website herunterzuladen.
- Der Benutzer entpackt die archivierte Datei mit dem Passwort.
- Der Benutzer führt das Installationsprogramm aus und führt die Malware aus.
Die eigentliche Infektion erfolgt beim Extrahieren der Datei win-setup-i864.exe aus dem heruntergeladenen passwortgeschützten Archiv, und dann läuft es.
Was ist win-setup-i864.exe?
Win-setup-i864.exe ist ein NSIS (Nullsoft Install System Script) Installationsprogramm sehr beliebt bei Softwareentwicklern. Leider, Auch Malware-Entwickler nutzen diese ausführbare Datei. In diesem Fall, es wurde gelöscht und eine andere Datei namens setup_installer.exe gestartet, ein SFX-Archiv-Wrapper in eine ausführbare Windows-Datei.
Tatsächlich ist es setup_installer.exe, das zahlreiche bösartige Dateien ablegt. Jedoch, anstatt sie alle zu starten, Der Dropper startet eine einzelne ausführbare Datei, die die Startkomponente von NullMixer ist.
„Der Starter von NullMixer startet alle abgelegten ausführbaren Dateien. Um dies zu tun, es enthält eine Liste von fest codierten Dateinamen, und startet sie nacheinander mit 'cmd.exe',“So der Bericht.
Welche Malware löscht NullMixer??
Die Liste der zugehörigen Malware-Familien enthält Malware-Loader, Infostealer, Clipping-Malware, Pay-per-Install und Adware, wie SmokeLoader, RedLine Stealer, PseudoManuscrypt, ColdStealer, CsdiMonetarisieren, Disbuk, Fabookie, DanaBot, Generic.ClipBanker, SgnitLoader, Kurzlader, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Joker, PrivateLoader, Satcom, GCleaner, Vidar.
„Seit Anfang des Jahres haben wir Ansteckungsversuche mehr als blockiert 47,778 Opfer weltweit. Einige der am stärksten betroffenen Länder sind Brasilien, Indien, Russland, Italien, Deutschland, Frankreich, Ägypten, Türkei und USA," der Bericht hinzugefügt.