Estamos na época de campanhas agressivas de malware, evidente pelo aumento do número de ataques detectados e analisados por pesquisadores de segurança. Um tipo específico de malware é especialmente importante para realizar campanhas de distribuição bem-sucedidas – o conta-gotas.
NullMixer é um exemplo de um novo conta-gotas que auxilia na instalação de uma série de outros trojans. O dropper foi descoberto recentemente pela equipe de caça a ameaças da Lista Segura da Kaspersky.
assim, o que você deve saber sobre os recursos e o caminho de infecção do NullMixer?
NullMixer: Visão geral técnica
Em primeiro lugar, deve-se mencionar que o dropper leva a uma cadeia de infecção de várias famílias de malware. A infecção inicial é baseada na execução do usuário. Em outras palavras, a vítima em potencial precisa interagir com um link malicioso e baixar um arquivo ZIP/RAR protegido por senha com um arquivo malicioso que é extraído e executado manualmente. A distribuição ocorre em sites de software crackeado. Os operadores de malware contam com truques de SEO para aparecer mais alto nos resultados de pesquisa, aumentando assim a chance de uma infecção bem sucedida.
Como acontece uma infecção com NullMixer?
Primeiro, o usuário deve visitar um dos sites de software crackeado implantados para a distribuição do NullMixer. Os próximos passos são os seguintes:
- O usuário clica no link de download do software desejado.
- O link redireciona o usuário para outro site malicioso.
- O site malicioso redireciona o usuário para uma página de endereço IP de terceiros.
- A página da Web instrui o usuário a baixar um arquivo ZIP protegido por senha de um site de compartilhamento de arquivos.
- O usuário extrai o arquivo arquivado com a senha.
- O usuário executa o instalador e executa o malware.
A infecção real ocorre ao extrair o arquivo win-setup-i864.exe do arquivo protegido por senha baixado, e, em seguida, executá-lo.
O que é win-setup-i864.exe?
Win-setup-i864.exe é um NSIS (Sistema de instalação por script Nullsoft) programa de instalação bastante popular entre os desenvolvedores de software. Infelizmente, os desenvolvedores de malware também aproveitam este executável. Nesse caso, ele caiu e lançou outro arquivo chamado setup_installer.exe, um wrapper de arquivo SFX em um executável do Windows.
Na verdade, é o setup_installer.exe que descarta vários arquivos maliciosos. Contudo, em vez de lançar todos eles, o dropper inicia um único executável que é o componente inicial do NullMixer.
“O inicializador do NullMixer inicia todos os arquivos executáveis descartados. Para fazê-lo, ele contém uma lista de nomes de arquivos codificados, e os inicia um por um usando 'cmd.exe',”Disse o relatório.
Que malware o NullMixer dropa?
A lista de famílias de malware associadas contém carregadores de malware, infostealers, malware de recorte, pagamento por instalação e adware, como o SmokeLoader, Ladrão da RedLine, PseudoManuscrypt, ColdStealer, CsdiMonetize, Disbuk, Fabookie, DanaBot, Generic.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO, LgoogLoader, Downloader.Bitser, C-Coringa, PrivateLoader, Satacom, GCleaner, Vidar.
“Desde o início do ano, bloqueamos tentativas de infectar mais de 47,778 vítimas em todo o mundo. Alguns dos países mais visados são o Brasil, Índia, Rússia, Itália, Alemanha, França, Egito, Turquia e Estados Unidos,” o relatório adicionado.