Il nuovo dropper NullMixer infetta il tuo PC con una dozzina di famiglie malware
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 29 Settembre 2022
Tags: #sicurezza, #malware, #nullmixer, #trojan
Tags: #sicurezza, #malware, #nullmixer, #trojan
Il nuovo dropper NullMixer infetta il tuo PC con una dozzina di famiglie malware
Un nuovo dropper di malware chiamato "NullMixer" sta infettando i dispositivi Windows con una dozzina di famiglie di malware diverse contemporaneamente attraverso falsi crack di software promossi su siti dannosi nei risultati di Ricerca Google.
NullMixer funge da imbuto di infezione, utilizzando un singolo eseguibile di Windows per avviare una dozzina di famiglie di malware diverse, portando ad oltre due dozzine di infezioni che eseguono un singolo dispositivo.
Queste infezioni vanno da trojan per il furto di password, backdoor, spyware, banchieri, falsi pulitori di sistema di Windows, dirottatori di appunti, minatori di criptovalute e persino altri caricatori di malware.
Per distribuire il malware, i distributori di malware utilizzano la "seo black hat" per visualizzare i siti Web che promuovono crack di giochi falsi e attivatori di software piratati in posizioni elevate nei risultati di ricerca su Google.
BleepingComputer ha testato una ricerca su Google per "crack software" e molti dei siti che si dice stiano distribuendo questo malware, come mostrato di seguito, sono stati elencati nei nostri risultati di ricerca nella seconda, terza e quarta posizione dei risultati di ricerca.
Gli utenti ignari che tentano di scaricare software da questi siti vengono reindirizzati ad altri siti dannosi che rilasciano un archivio ZIP protetto da password contenente una copia del dropper NullMixer.
Poiché i crack e i cheat del software in genere necessitano di modificare i file di gioco, gli utenti che li scaricano ignorano gli avvisi AV su eseguibili non firmati e potenzialmente pericolosi, aggirando i controlli di sicurezza ed eseguendoli manualmente.
Kaspersky, i cui analisti hanno scoperto il nuovo dropper, riferisce che NullMixer ha già tentato infezioni su 47.778 dei suoi clienti negli Stati Uniti, Germania, Francia, Italia, India, Russia, Brasile, Turchia ed Egitto.
NullMixer viene comunemente scaricato come file denominati in modo simile a "win-setup-i864.exe", che una volta avviato, crea un nuovo file chiamato "setup_installer.exe".
Questo nuovo file è responsabile dell'eliminazione di dozzine di famiglie di malware e, dopo averlo fatto, avvia un altro eseguibile, "setup_install.exe".
Quel terzo file avvia tutti i malware rilasciati nella macchina compromessa utilizzando un elenco codificato dei loro nomi e lo strumento cmd.exe di Windows.
Alcune famiglie di malware eliminate da NullMixer includono Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt e altre ancora.
Il motivo per cui gli operatori NullMixer hanno scelto di installare e avviare tutte queste famiglie di malware contemporaneamente su computer compromessi casualmente non è chiaro.
Gli operatori possono scegliere di causare distruzione per fama, promuovere il loro strumento come un dropper molto efficace per i gruppi di malware o raggiungere livelli assurdi di ridondanza.
In ogni caso, sarebbe praticamente impossibile per tutte quelle famiglie di malware funzionare su un computer violato e non generare abbondanti sintomi di compromissione affinché la vittima si renda conto dell'infezione.
Questi sintomi potrebbero includere un'attività pesante del disco rigido, un maggiore utilizzo della CPU e della memoria, aperture insolite di finestre senza motivo o semplicemente un evidente problema di prestazioni sul dispositivo infetto.
Pertanto, NullMixer è meno una minaccia invisibile ora e più un incontro catastrofico che può probabilmente essere risolto solo tramite una reinstallazione di Windows.
Gli utenti devono sempre considerare i rischi del download di eseguibili da oscure fonti online ed evitare di ricorrere alla pirateria del software.