Accueil > Nouvelles Cyber > NullMixer Dropper conduit à une chaîne d'infection de nombreuses familles de logiciels malveillants
CYBER NOUVELLES

NullMixer Dropper conduit à une chaîne d'infection de nombreuses familles de logiciels malveillants

par   |  Dernière mise à jour:  |  0 Commentaires  

NullMixer Dropper conduit à une chaîne d'infection de nombreuses familles de logiciels malveillants

Nous sommes dans la saison des campagnes de malwares agressifs, évident par le nombre croissant d'attaques détectées et analysées par les chercheurs en sécurité. Un type spécifique de malware est particulièrement important pour mener à bien des campagnes de distribution réussies – le compte-gouttes.

NullMixer est un exemple d'un nouveau compte-gouttes qui facilite l'installation d'une gamme d'autres chevaux de Troie. Le compte-gouttes a été récemment découvert par l'équipe de chasse aux menaces Secure List de Kaspersky.

Si, que devez-vous savoir sur les capacités et le chemin d'infection de NullMixer?




NullMixer: Présentation technique

Tout d'abord, il convient de mentionner que le compte-gouttes conduit à une chaîne d'infection de plusieurs familles de logiciels malveillants. L'infection initiale est basée sur l'exécution de l'utilisateur. En d'autres termes, la victime potentielle doit interagir avec un lien malveillant et télécharger une archive ZIP/RAR protégée par mot de passe avec un fichier malveillant qui est extrait et exécuté manuellement. La distribution a lieu le sites Web de logiciels piratés. Les opérateurs de logiciels malveillants s'appuient sur des astuces SEO pour apparaître plus haut dans les résultats de recherche, augmentant ainsi les chances de succès de l'infection.

Comment se produit une infection avec NullMixer?
Première, l'utilisateur doit visiter l'un des sites Web de logiciels piratés déployés pour la distribution de NullMixer. Les prochaines étapes sont les suivantes:

  • L'utilisateur clique sur le lien de téléchargement du logiciel souhaité.
  • Le lien redirige l'utilisateur vers un autre site Web malveillant.
  • Le site Web malveillant redirige l'utilisateur vers une page Web d'adresse IP tierce.
  • La page Web demande à l'utilisateur de télécharger un fichier ZIP protégé par mot de passe à partir d'un site Web de partage de fichiers.
  • L'utilisateur extrait le fichier archivé avec le mot de passe.
  • L'utilisateur exécute le programme d'installation et exécute le logiciel malveillant.

L'infection réelle se produit lors de l'extraction du fichier win-setup-i864.exe à partir de l'archive téléchargée protégée par mot de passe, puis le lancer.

Qu'est-ce que win-setup-i864.exe?
Win-setup-i864.exe est un NSIS (Nullsoft Scriptable Install System) programme d'installation assez populaire parmi les développeurs de logiciels. Malheureusement, les développeurs de logiciels malveillants profitent également de cet exécutable. Dans ce cas, il a abandonné et lancé un autre fichier appelé setup_installer.exe, un wrapper d'archive SFX dans un exécutable Windows.

C'est en fait le setup_installer.exe qui dépose de nombreux fichiers malveillants. Cependant, plutôt que de tous les lancer, le dropper lance un seul exécutable qui est le composant de démarrage de NullMixer.

"Le démarreur de NullMixer lance tous les fichiers exécutables déposés. Pour ce faire, il contient une liste de noms de fichiers codés en dur, et les lance un par un en utilisant 'cmd.exe',» Le rapport.




Quels logiciels malveillants NullMixer Drop?

La liste des familles de logiciels malveillants associés contient des chargeurs de logiciels malveillants, infostealers, logiciel malveillant d'écrêtage, paiement par installation et adware, comme SmokeLoader, Voleur RedLine, PseudoManuscrypt, ColdStealer, CsdiMonétiser, Disbuk, Fabookie, DanaBot, Generic.ClipBanker, SgnitLoaderComment, ShortLoader, Téléchargeur.INNO, LgoogLoader, Téléchargeur.Bitser, C-Joker, PrivateLoader, Satacom, GCleanerComment, Vidar.

"Depuis le début de l'année, nous avons bloqué les tentatives d'infection de plus de 47,778 victimes dans le monde. Certains des pays les plus ciblés sont le Brésil, Inde, Russie, Italie, Allemagne, France, Egypte, La Turquie et les États-Unis," le rapport ajouté.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Gagnez Tonic PUP - est-il un scanner faux et comment l'enlever Cet article a été créé pour vous donner un aperçu sur ...
  2. Retirer Newtab.win Redirect Cet article révèle comment la redirection Newtab.win peut être supprimée de...
  3. Comment faire pour supprimer ChromeSearch.win Dévier à partir de votre PC Cet article a été créé pour vous aider en vous expliquant...
  4. Qu'est-ce que Zorton Win 8 Antivirus 2014? Zorton Win 8 Antivirus 2014 Description Zorton Win 8 Antivirus...
  5. Retirer Venis Ransomware et restaurer vos fichiers Venis ransomware est un cryptovirus qui est actuellement dans sa...
  6. Suppression du virus WIN Ransomware WIN Ransomware Qu'est-ce que le virus WIN ransomware? C'est un...
  7. Qu'est-ce que Zorton Win 7 Protection 2014? Zorton Win 7 Protection 2014 has been categorized as a...
  8. Comment faire pour supprimer Win Magician (PUP) Win Magician est un logiciel présenté comme une optimisation du système..

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord