警惕!新的 NullMixer 滴管正在用十幾個惡意軟件家族感染您的PC
2022年09月29日
一個名為“NullMixer”的新型惡意軟件投放器正在通過谷歌搜索結(jié)果中的惡意網(wǎng)站上推廣的虛假軟件進(jìn)行破解���,同時用十幾個不同的惡意軟件系列感染 Windows 設(shè)備�����。
NullMixer 充當(dāng)感染漏斗�����,使用單個 Windows 可執(zhí)行文件啟動十幾個不同的惡意軟件系列��,導(dǎo)致運行單個設(shè)備的兩打以上感染���。感染范圍包括密碼竊取木馬、后門����、間諜軟件、銀行家��、 Windows 系統(tǒng)清理程序�、剪貼板劫持者、加密貨幣礦工�,甚至更多的惡意軟件加載程序��。
為了分發(fā)惡意軟件��,惡意軟件分發(fā)者使用“黑帽搜索引擎優(yōu)化”在谷歌搜索結(jié)果排名靠前的位置顯示宣傳假游戲破解和盜版軟件激活器的網(wǎng)站�。
BleepingComputer 測試了谷歌對“軟件破解”的搜索�����,許多據(jù)稱正在分發(fā)這種惡意軟件的網(wǎng)站(如下所示)被列在搜索結(jié)果中的第二����、第三和第四個搜索結(jié)果位置。
試圖從這些站點下載軟件的毫無戒心的用戶會被重新定向到其他惡意站點�,這些站點會丟棄受密碼保護(hù)的 ZIP 存檔,其中包含 NullMixer 下載器的副本�。
由于軟件破解和作弊通常需要修改游戲文件,因此下載它們的用戶會忽略有關(guān)未簽名和潛在危險可執(zhí)行文件的 AV 警告�����,繞過安全控制并手動執(zhí)行它們�。
卡巴斯基的分析師發(fā)現(xiàn)了新的滴管���,報告稱 NullMixer 已經(jīng)嘗試感染美國����、德國、法國�����、意大利�、印度、俄羅斯��、巴西�����、土耳其和埃及的 47,778 名客戶����。
數(shù)十種惡意軟件
NullMixer 通常以類似于“win-setup-i864.exe”的文件形式下載,啟動時會創(chuàng)建一個名為“setup_installer.exe”的新文件���。這個新文件負(fù)責(zé)刪除數(shù)十個惡意軟件系列�,然后啟動另一個可執(zhí)行文件“setup_install.exe”����。
第三個文件使用硬編碼的名稱列表和 Windows 的 cmd.exe 工具啟動所有在受感染機(jī)器中的惡意軟件�����。
NullMixer 刪除的一些惡意軟件系列包括 Redline Stealer��、Danabot�、Raccoon Stealer����、Vidar Stealer、SmokeLoader�����、PrivateLoader���、ColdStealer�����、Fabookie����、PseudoManuscrypt 等��。
NullMixer 運營商選擇在隨機(jī)受感染的計算機(jī)上同時安裝和啟動所有這些惡意軟件系列的原因尚不清楚����。
運營商可能會選擇破壞名譽(yù),將他們的工具宣傳為惡意軟件團(tuán)伙的非常有效的投放器��,或者實現(xiàn)荒謬的冗余水平��。
無論如何��,所有這些惡意軟件家族幾乎不可能在被破壞的計算機(jī)上運行����,并且不會產(chǎn)生大量的危害癥狀讓受害者意識到感染。
這些癥狀可能包括硬盤活動繁重�����、CPU 和內(nèi)存利用率增加����、無故打開異常窗口,或者只是受感染設(shè)備上出現(xiàn)明顯的性能問題���。
因此��,NullMixer 現(xiàn)在不再是一種隱蔽的威脅���,而是一種可能只能通過重新安裝 Windows 才能解決的災(zāi)難性遭遇����。
用戶必須始終考慮從不知名的在線資源下載可執(zhí)行文件的風(fēng)險����,并避免訴諸軟件盜版。
文章來源:E安全����,如有侵權(quán)請聯(lián)系刪除
