Siamo nella stagione delle campagne malware aggressive, evidente dall'aumento del numero di attacchi rilevati e analizzati dai ricercatori di sicurezza. Un tipo specifico di malware è particolarmente importante per realizzare campagne di distribuzione di successo – il contagocce.
NullMixer è un esempio di un nuovo contagocce che aiuta l'installazione di una serie di altri trojan. Il contagocce è stato recentemente scoperto dal team di ricerca delle minacce di Kaspersky Secure List.
Così, cosa dovresti sapere sulle capacità di NullMixer e sul percorso di infezione?
NullMixer: Panoramica tecnica
Prima di tutto, va detto che il contagocce porta a una catena di infezione di diverse famiglie di malware. L'infezione iniziale si basa sull'esecuzione dell'utente. In altre parole, la potenziale vittima deve interagire con un collegamento dannoso e scaricare un archivio ZIP/RAR protetto da password con un file dannoso che viene estratto ed eseguito manualmente. La distribuzione avviene il siti Web di software craccati. Gli operatori di malware si affidano ai trucchi SEO per apparire più in alto nei risultati di ricerca, aumentando così le possibilità di successo dell'infezione.
Come si verifica un'infezione con NullMixer?
Primo, l'utente deve visitare uno dei siti Web di software crackati distribuiti per la distribuzione di NullMixer. I prossimi passi sono i seguenti:
- L'utente fa clic sul collegamento per il download del software desiderato.
- Il collegamento reindirizza l'utente a un altro sito Web dannoso.
- Il sito Web dannoso reindirizza l'utente a una pagina Web con indirizzo IP di terze parti.
- La pagina Web indica all'utente di scaricare un file ZIP protetto da password da un sito Web di condivisione file.
- L'utente estrae il file archiviato con la password.
- L'utente esegue il programma di installazione ed esegue il malware.
L'infezione vera e propria si verifica durante l'estrazione del file win-setup-i864.exe dall'archivio protetto da password scaricato, e poi eseguirlo.
Che cos'è win-setup-i864.exe?
Win-setup-i864.exe è un NSIS (Nullsoft Scriptable Install System) programma di installazione abbastanza popolare tra gli sviluppatori di software. Sfortunatamente, anche gli sviluppatori di malware traggono vantaggio da questo eseguibile. In questo caso, è caduto e ha lanciato un altro file chiamato setup_installer.exe, un wrapper di archivio SFX in un eseguibile di Windows.
È infatti setup_installer.exe che rilascia numerosi file dannosi. Tuttavia, invece di lanciarli tutti, il contagocce lancia un singolo eseguibile che è il componente iniziale di NullMixer.
“Lo starter di NullMixer avvia tutti i file eseguibili eliminati. Per farlo, contiene un elenco di nomi di file hardcoded, e li lancia uno per uno usando 'cmd.exe',”Dice il rapporto.
Che malware elimina NullMixer?
L'elenco delle famiglie di malware associate contiene caricatori di malware, infostealers, malware di ritaglio, pay-per-install e adware, come SmokeLoader, RedLine stealer, PseudoManuscrypt, Il ladro di freddo, CsdiMonetizzare, Disbuk, Favoloso, DanaBot, Generic.ClipBanker, SgnitLoader, Caricatore corto, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Joker, Caricatore privato, Satacom, GCleaner, Vidar.
“Dall'inizio dell'anno abbiamo bloccato i tentativi di infettare più di 47,778 vittime in tutto il mondo. Alcuni dei paesi più presi di mira sono il Brasile, India, Russia, Italia, Germania, Francia, Egitto, Turchia e Stati Uniti," il rapporto ha aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: