警惕��!新的 NullMixer 滴管正在用十幾個(gè)惡意軟件家族感染您的PC
2022年09月29日
一個(gè)名為“NullMixer”的新型惡意軟件投放器正在通過(guò)谷歌搜索結(jié)果中的惡意網(wǎng)站上推廣的虛假軟件進(jìn)行破解����,同時(shí)用十幾個(gè)不同的惡意軟件系列感染 Windows 設(shè)備����。
NullMixer 充當(dāng)感染漏斗,使用單個(gè) Windows 可執(zhí)行文件啟動(dòng)十幾個(gè)不同的惡意軟件系列���,導(dǎo)致運(yùn)行單個(gè)設(shè)備的兩打以上感染���。感染范圍包括密碼竊取木馬、后門(mén)����、間諜軟件��、銀行家�、 Windows 系統(tǒng)清理程序����、剪貼板劫持者����、加密貨幣礦工,甚至更多的惡意軟件加載程序����。
為了分發(fā)惡意軟件,惡意軟件分發(fā)者使用“黑帽搜索引擎優(yōu)化”在谷歌搜索結(jié)果排名靠前的位置顯示宣傳假游戲破解和盜版軟件激活器的網(wǎng)站�。
BleepingComputer 測(cè)試了谷歌對(duì)“軟件破解”的搜索,許多據(jù)稱正在分發(fā)這種惡意軟件的網(wǎng)站(如下所示)被列在搜索結(jié)果中的第二�����、第三和第四個(gè)搜索結(jié)果位置����。
試圖從這些站點(diǎn)下載軟件的毫無(wú)戒心的用戶會(huì)被重新定向到其他惡意站點(diǎn)�,這些站點(diǎn)會(huì)丟棄受密碼保護(hù)的 ZIP 存檔����,其中包含 NullMixer 下載器的副本。
由于軟件破解和作弊通常需要修改游戲文件��,因此下載它們的用戶會(huì)忽略有關(guān)未簽名和潛在危險(xiǎn)可執(zhí)行文件的 AV 警告��,繞過(guò)安全控制并手動(dòng)執(zhí)行它們�����。
卡巴斯基的分析師發(fā)現(xiàn)了新的滴管����,報(bào)告稱 NullMixer 已經(jīng)嘗試感染美國(guó)、德國(guó)����、法國(guó)、意大利����、印度、俄羅斯��、巴西、土耳其和埃及的 47,778 名客戶����。
數(shù)十種惡意軟件
NullMixer 通常以類似于“win-setup-i864.exe”的文件形式下載,啟動(dòng)時(shí)會(huì)創(chuàng)建一個(gè)名為“setup_installer.exe”的新文件�。這個(gè)新文件負(fù)責(zé)刪除數(shù)十個(gè)惡意軟件系列,然后啟動(dòng)另一個(gè)可執(zhí)行文件“setup_install.exe”�����。
第三個(gè)文件使用硬編碼的名稱列表和 Windows 的 cmd.exe 工具啟動(dòng)所有在受感染機(jī)器中的惡意軟件�。
NullMixer 刪除的一些惡意軟件系列包括 Redline Stealer�����、Danabot�����、Raccoon Stealer�、Vidar Stealer、SmokeLoader�����、PrivateLoader、ColdStealer����、Fabookie、PseudoManuscrypt 等����。
NullMixer 運(yùn)營(yíng)商選擇在隨機(jī)受感染的計(jì)算機(jī)上同時(shí)安裝和啟動(dòng)所有這些惡意軟件系列的原因尚不清楚。
運(yùn)營(yíng)商可能會(huì)選擇破壞名譽(yù)�����,將他們的工具宣傳為惡意軟件團(tuán)伙的非常有效的投放器��,或者實(shí)現(xiàn)荒謬的冗余水平��。
無(wú)論如何�,所有這些惡意軟件家族幾乎不可能在被破壞的計(jì)算機(jī)上運(yùn)行,并且不會(huì)產(chǎn)生大量的危害癥狀讓受害者意識(shí)到感染���。
這些癥狀可能包括硬盤(pán)活動(dòng)繁重�、CPU 和內(nèi)存利用率增加�����、無(wú)故打開(kāi)異常窗口,或者只是受感染設(shè)備上出現(xiàn)明顯的性能問(wèn)題���。
因此��,NullMixer 現(xiàn)在不再是一種隱蔽的威脅���,而是一種可能只能通過(guò)重新安裝 Windows 才能解決的災(zāi)難性遭遇。
用戶必須始終考慮從不知名的在線資源下載可執(zhí)行文件的風(fēng)險(xiǎn)��,并避免訴諸軟件盜版���。
文章來(lái)源:E安全,如有侵權(quán)請(qǐng)聯(lián)系刪除
