Casa > cibernético Notícias > NullMixer Dropper leva a uma cadeia de infecção de várias famílias de malware
CYBER NEWS

NullMixer Dropper leva a uma cadeia de infecção de várias famílias de malware

NullMixer Dropper leva a uma cadeia de infecção de várias famílias de malware

Estamos na época de campanhas agressivas de malware, evidente pelo aumento do número de ataques detectados e analisados por pesquisadores de segurança. Um tipo específico de malware é especialmente importante para realizar campanhas de distribuição bem-sucedidas – o conta-gotas.

NullMixer é um exemplo de um novo conta-gotas que auxilia na instalação de uma série de outros trojans. O dropper foi descoberto recentemente pela equipe de caça a ameaças da Lista Segura da Kaspersky.

assim, o que você deve saber sobre os recursos e o caminho de infecção do NullMixer?




NullMixer: Visão geral técnica

Em primeiro lugar, deve-se mencionar que o dropper leva a uma cadeia de infecção de várias famílias de malware. A infecção inicial é baseada na execução do usuário. Em outras palavras, a vítima em potencial precisa interagir com um link malicioso e baixar um arquivo ZIP/RAR protegido por senha com um arquivo malicioso que é extraído e executado manualmente. A distribuição ocorre em sites de software crackeado. Os operadores de malware contam com truques de SEO para aparecer mais alto nos resultados de pesquisa, aumentando assim a chance de uma infecção bem sucedida.

Como acontece uma infecção com NullMixer?
Primeiro, o usuário deve visitar um dos sites de software crackeado implantados para a distribuição do NullMixer. Os próximos passos são os seguintes:

  • O usuário clica no link de download do software desejado.
  • O link redireciona o usuário para outro site malicioso.
  • O site malicioso redireciona o usuário para uma página de endereço IP de terceiros.
  • A página da Web instrui o usuário a baixar um arquivo ZIP protegido por senha de um site de compartilhamento de arquivos.
  • O usuário extrai o arquivo arquivado com a senha.
  • O usuário executa o instalador e executa o malware.

A infecção real ocorre ao extrair o arquivo win-setup-i864.exe do arquivo protegido por senha baixado, e, em seguida, executá-lo.

O que é win-setup-i864.exe?
Win-setup-i864.exe é um NSIS (Sistema de instalação por script Nullsoft) programa de instalação bastante popular entre os desenvolvedores de software. Infelizmente, os desenvolvedores de malware também aproveitam este executável. Nesse caso, ele caiu e lançou outro arquivo chamado setup_installer.exe, um wrapper de arquivo SFX em um executável do Windows.

Na verdade, é o setup_installer.exe que descarta vários arquivos maliciosos. Contudo, em vez de lançar todos eles, o dropper inicia um único executável que é o componente inicial do NullMixer.

“O inicializador do NullMixer inicia todos os arquivos executáveis descartados. Para fazê-lo, ele contém uma lista de nomes de arquivos codificados, e os inicia um por um usando 'cmd.exe',”Disse o relatório.




Que malware o NullMixer dropa?

A lista de famílias de malware associadas contém carregadores de malware, infostealers, malware de recorte, pagamento por instalação e adware, como o SmokeLoader, Ladrão da RedLine, PseudoManuscrypt, ColdStealer, CsdiMonetize, Disbuk, Fabookie, DanaBot, Generic.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Coringa, PrivateLoader, Satacom, GCleaner, Vidar.

“Desde o início do ano, bloqueamos tentativas de infectar mais de 47,778 vítimas em todo o mundo. Alguns dos países mais visados são o Brasil, Índia, Rússia, Itália, Alemanha, França, Egito, Turquia e Estados Unidos,” o relatório adicionado.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo