攻撃的なマルウェア キャンペーンの季節に突入, セキュリティ研究者によって検出および分析される攻撃の数が増加していることからも明らかです. 配布キャンペーンを成功させるには、特定のタイプのマルウェアが特に重要です – ドロッパー.
NullMixer は、他のさまざまなトロイの木馬のインストールを支援する新しいドロッパーの一例です. このドロッパーは、Kaspersky の Secure List 脅威ハンティング チームによって最近発見されました。.
そう, NullMixer の機能と感染経路について知っておくべきこと?
NullMixer: 技術概要
初めに, ドロッパーは、複数のマルウェア ファミリの感染チェーンにつながることに注意してください。. 初期の感染はユーザーの実行に基づく. 言い換えると, 潜在的な被害者は、悪意のあるリンクにアクセスし、パスワードで保護された ZIP/RAR アーカイブをダウンロードし、悪意のあるファイルを手動で抽出して実行する必要があります。. 配布は クラックされたソフトウェアの Web サイト. マルウェア オペレータは、検索結果の上位に表示されるように SEO のトリックに依存しています, したがって、感染が成功する可能性が高くなります.
NullMixer による感染はどのように発生しますか?
初め, ユーザーは、NullMixer の配布用にデプロイされたクラックされたソフトウェア Web サイトの 1 つにアクセスする必要があります。. 次の手順は次のとおりです。:
- ユーザーは、目的のソフトウェアのダウンロード リンクをクリックします。.
- リンクは、ユーザーを別の悪意のある Web サイトにリダイレクトします.
- 悪意のある Web サイトが、ユーザーをサードパーティの IP アドレス Web ページにリダイレクトします。.
- この Web ページは、パスワードで保護された ZIP ファイルをファイル共有 Web サイトからダウンロードするようユーザーに指示します。.
- ユーザーは、パスワードを使用してアーカイブ ファイルを抽出します。.
- ユーザーがインストーラーを実行し、マルウェアを実行する.
ダウンロードしたパスワード保護されたアーカイブから win-setup-i864.exe ファイルを抽出すると、実際の感染が発生します。, そしてそれを実行する.
win-setup-i864.exe とは?
Win-setup-i864.exe は NSIS です (NullsoftScriptableインストールシステム) ソフトウェア開発者の間で非常に人気のあるインストール プログラム. 不運にも, マルウェア開発者もこの実行可能ファイルを利用します. この場合, setup_installer.exe という別のファイルをドロップして起動しました, Windows 実行可能ファイルへの SFX アーカイブ ラッパー.
実際、多数の悪意のあるファイルを投下するのは setup_installer.exe です。. でも, それらすべてを起動するのではなく, ドロッパーは、NullMixer のスターター コンポーネントである単一の実行可能ファイルを起動します.
「NullMixer のスターターは、ドロップされたすべての実行可能ファイルを起動します。. そうするために, ハードコードされたファイル名のリストが含まれています, 「cmd.exe」を使用してそれらを1つずつ起動します,」レポートは言った.
NullMixer がドロップするマルウェア?
関連するマルウェア ファミリのリストには、マルウェア ローダーが含まれています, infostealers, クリッピング マルウェア, ペイパーインストールとアドウェア, SmokeLoaderなど, RedLineスティーラー, PseudoManuscrypt, コールドスティーラー, CsdiMonetize, ディスバック, ファブッキー, DanaBot, Generic.ClipBanker, SgnitLoader, ショートローダー, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-ジョーカー, プライベートローダー, サタコム, GCleaner, ヴィダル.
「今年の初め以来、私たちは感染しようとする試みをブロックしてきました 47,778 世界中の犠牲者. 最も標的にされた国の一部はブラジルです, インド, ロシア, イタリア, ドイツ, フランス, エジプト, トルコと米国,」 レポートが追加されました.