Nous sommes dans la saison des campagnes de malwares agressifs, évident par le nombre croissant d'attaques détectées et analysées par les chercheurs en sécurité. Un type spécifique de malware est particulièrement important pour mener à bien des campagnes de distribution réussies – le compte-gouttes.
NullMixer est un exemple d'un nouveau compte-gouttes qui facilite l'installation d'une gamme d'autres chevaux de Troie. Le compte-gouttes a été récemment découvert par l'équipe de chasse aux menaces Secure List de Kaspersky.
Si, que devez-vous savoir sur les capacités et le chemin d'infection de NullMixer?
NullMixer: Présentation technique
Tout d'abord, il convient de mentionner que le compte-gouttes conduit à une chaîne d'infection de plusieurs familles de logiciels malveillants. L'infection initiale est basée sur l'exécution de l'utilisateur. En d'autres termes, la victime potentielle doit interagir avec un lien malveillant et télécharger une archive ZIP/RAR protégée par mot de passe avec un fichier malveillant qui est extrait et exécuté manuellement. La distribution a lieu le sites Web de logiciels piratés. Les opérateurs de logiciels malveillants s'appuient sur des astuces SEO pour apparaître plus haut dans les résultats de recherche, augmentant ainsi les chances de succès de l'infection.
Comment se produit une infection avec NullMixer?
Première, l'utilisateur doit visiter l'un des sites Web de logiciels piratés déployés pour la distribution de NullMixer. Les prochaines étapes sont les suivantes:
- L'utilisateur clique sur le lien de téléchargement du logiciel souhaité.
- Le lien redirige l'utilisateur vers un autre site Web malveillant.
- Le site Web malveillant redirige l'utilisateur vers une page Web d'adresse IP tierce.
- La page Web demande à l'utilisateur de télécharger un fichier ZIP protégé par mot de passe à partir d'un site Web de partage de fichiers.
- L'utilisateur extrait le fichier archivé avec le mot de passe.
- L'utilisateur exécute le programme d'installation et exécute le logiciel malveillant.
L'infection réelle se produit lors de l'extraction du fichier win-setup-i864.exe à partir de l'archive téléchargée protégée par mot de passe, puis le lancer.
Qu'est-ce que win-setup-i864.exe?
Win-setup-i864.exe est un NSIS (Nullsoft Scriptable Install System) programme d'installation assez populaire parmi les développeurs de logiciels. Malheureusement, les développeurs de logiciels malveillants profitent également de cet exécutable. Dans ce cas, il a abandonné et lancé un autre fichier appelé setup_installer.exe, un wrapper d'archive SFX dans un exécutable Windows.
C'est en fait le setup_installer.exe qui dépose de nombreux fichiers malveillants. Cependant, plutôt que de tous les lancer, le dropper lance un seul exécutable qui est le composant de démarrage de NullMixer.
"Le démarreur de NullMixer lance tous les fichiers exécutables déposés. Pour ce faire, il contient une liste de noms de fichiers codés en dur, et les lance un par un en utilisant 'cmd.exe',» Le rapport.
Quels logiciels malveillants NullMixer Drop?
La liste des familles de logiciels malveillants associés contient des chargeurs de logiciels malveillants, infostealers, logiciel malveillant d'écrêtage, paiement par installation et adware, comme SmokeLoader, Voleur RedLine, PseudoManuscrypt, ColdStealer, CsdiMonétiser, Disbuk, Fabookie, DanaBot, Generic.ClipBanker, SgnitLoaderComment, ShortLoader, Téléchargeur.INNO, LgoogLoader, Téléchargeur.Bitser, C-Joker, PrivateLoader, Satacom, GCleanerComment, Vidar.
"Depuis le début de l'année, nous avons bloqué les tentatives d'infection de plus de 47,778 victimes dans le monde. Certains des pays les plus ciblés sont le Brésil, Inde, Russie, Italie, Allemagne, France, Egypte, La Turquie et les États-Unis," le rapport ajouté.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: