Estamos en la temporada de campañas agresivas de malware, evidente por el mayor número de ataques detectados y analizados por investigadores de seguridad. Un tipo específico de malware es especialmente importante para llevar a cabo campañas de distribución exitosas. – el cuentagotas.
NullMixer es un ejemplo de un nuevo cuentagotas que ayuda a la instalación de una gama de otros troyanos. El cuentagotas fue descubierto recientemente por el equipo de caza de amenazas Secure List de Kaspersky..
Así, ¿Qué debe saber sobre las capacidades y la ruta de infección de NullMixer??
mezclador nulo: Resumen técnico
Ante todo, cabe mencionar que el cuentagotas conduce a una cadena de infección de varias familias de malware. La infección inicial se basa en la ejecución del usuario.. En otras palabras, la víctima potencial necesita interactuar con un enlace malicioso y descargar un archivo ZIP/RAR protegido por contraseña con un archivo malicioso que se extrae y ejecuta manualmente. La distribución se lleva a cabo en sitios web de software crackeados. Los operadores de malware confían en los trucos de SEO para aparecer más arriba en los resultados de búsqueda., aumentando así la posibilidad de una infección exitosa.
¿Cómo ocurre una infección con NullMixer??
Primero, el usuario debe visitar uno de los sitios web de software descifrado implementados para la distribución de NullMixer. Los siguientes pasos son los siguientes:
- El usuario hace clic en el enlace de descarga del software deseado..
- El enlace redirige al usuario a otro sitio web malicioso.
- El sitio web malicioso redirige al usuario a una página web de dirección IP de un tercero.
- La página web indica al usuario que descargue un archivo ZIP protegido con contraseña desde un sitio web para compartir archivos.
- El usuario extrae el archivo archivado con la contraseña.
- El usuario ejecuta el instalador y ejecuta el malware..
La infección real ocurre al extraer el archivo win-setup-i864.exe del archivo descargado protegido por contraseña, y luego ejecutarlo.
¿Qué es win-setup-i864.exe??
Win-setup-i864.exe es un NSIS (Nullsoft Install System) programa de instalación bastante popular entre los desarrolladores de software. Desafortunadamente, los desarrolladores de malware también aprovechan este ejecutable. En este caso, soltó y lanzó otro archivo llamado setup_installer.exe, un contenedor de archivo SFX en un ejecutable de Windows.
De hecho, es el setup_installer.exe el que suelta numerosos archivos maliciosos.. Sin embargo, en lugar de lanzarlos todos, el cuentagotas lanza un solo ejecutable que es el componente inicial de NullMixer.
“El iniciador de NullMixer lanza todos los archivos ejecutables caídos. Para ello, contiene una lista de nombres de archivos codificados, y los lanza uno por uno usando 'cmd.exe',”Según el informe.
Qué malware hace caer NullMixer?
La lista de familias de malware asociadas contiene cargadores de malware, ladrones de información, software malicioso de recorte, pago por instalación y adware, como SmokeLoader, Ladrón de RedLine, PseudoManuscrypt, Ladrónfrío, CsdiMonetizar, Disbuk, Galleta fabulosa, DanaBot, Genérico.ClipBanker, SgnitLoader, cargador corto, Descargador.INNO, LgoogLoader, Descargador.Bitser, C-Joker, cargador privado, Satacom, Limpiador, Vidar.
“Desde principios de año hemos bloqueado los intentos de infectar a más de 47,778 víctimas en todo el mundo. Algunos de los países más atacados son Brasil, India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y Estados Unidos," el informe agregado.