We bevinden ons in het seizoen van agressieve malwarecampagnes, blijkt uit het toegenomen aantal aanvallen dat wordt gedetecteerd en geanalyseerd door beveiligingsonderzoekers. Eén specifiek type malware is vooral belangrijk voor het uitvoeren van succesvolle distributiecampagnes – de druppelaar.
NullMixer is een voorbeeld van een nieuwe druppelaar die de installatie van een reeks andere trojans helpt. De druppelaar is onlangs ontdekt door Kaspersky's Secure List-team voor het opsporen van bedreigingen.
Dus, wat moet u weten over de mogelijkheden en het infectiepad van NullMixer??
NullMixer: technisch overzicht
Allereerst, het moet worden vermeld dat de druppelaar leidt tot een infectieketen van verschillende malwarefamilies. De initiële infectie is gebaseerd op uitvoering door de gebruiker. Met andere woorden, het potentiële slachtoffer moet een schadelijke link gebruiken en een met een wachtwoord beveiligd ZIP/RAR-archief downloaden met een kwaadaardig bestand dat handmatig wordt uitgepakt en uitgevoerd. De distributie vindt plaats op gekraakte softwarewebsites. De malware-operators vertrouwen op SEO-trucs om hoger in de zoekresultaten te verschijnen, waardoor de kans op een succesvolle infectie wordt vergroot.
Hoe gebeurt een infectie met NullMixer??
Eerste, de gebruiker moet een van de gekraakte softwarewebsites bezoeken die zijn ingezet voor de distributie van NullMixer. De volgende stappen zijn de volgende::
- De gebruiker klikt op de downloadlink voor de gewenste software.
- De link leidt de gebruiker om naar een andere kwaadaardige website.
- De kwaadaardige website leidt de gebruiker om naar een webpagina met een IP-adres van een derde partij.
- De webpagina instrueert de gebruiker om een met een wachtwoord beveiligd ZIP-bestand te downloaden van een website voor het delen van bestanden.
- De gebruiker pakt het gearchiveerde bestand uit met het wachtwoord.
- De gebruiker voert het installatieprogramma uit en voert de malware uit.
De daadwerkelijke infectie vindt plaats bij het uitpakken van het bestand win-setup-i864.exe uit het gedownloade met een wachtwoord beveiligde archief, en dan uitvoeren.
Wat is win-setup-i864.exe?
Win-setup-i864.exe is een NSIS (Nullsoft Scriptable Install System) installatieprogramma behoorlijk populair onder softwareontwikkelaars. Helaas, malware-ontwikkelaars profiteren ook van dit uitvoerbare bestand. In dit geval, het viel uit en lanceerde een ander bestand genaamd setup_installer.exe, een SFX-archiefwrapper in een Windows-uitvoerbaar bestand.
Het is in feite de setup_installer.exe die talloze kwaadaardige bestanden laat vallen. Echter, in plaats van ze allemaal te lanceren, de druppelaar lanceert een enkel uitvoerbaar bestand dat de startercomponent is van NullMixer.
"NullMixer's starter lanceert alle gevallen uitvoerbare bestanden. Om dit te doen, het bevat een lijst met hardgecodeerde bestandsnamen, en start ze een voor een met 'cmd.exe',”Aldus het rapport.
Welke malware laat NullMixer vallen??
De lijst met bijbehorende malwarefamilies bevat malwareladers, infostealers, malware knippen, pay-per-install en adware, zoals SmokeLoader, RedLine stealer, PseudoManuscrypt, ColdStealer, CsdiMonetize, Disbuk, Fabookie, DanaBot, Generieke.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Joker, Privélader, Satacom, GCleaner, Vidar.
“Sinds het begin van het jaar hebben we pogingen om meer dan 47,778 slachtoffers wereldwijd. Enkele van de meest getargete landen zijn Brazilië, India, Rusland, Italië, Duitsland, Frankrijk, Egypte, Turkije en de Verenigde Staten," het rapport toegevoegd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: