Evil malware distributor

「NullMixer」という名前の新しいマルウェア ドロッパーは、Google 検索結果の悪意のあるサイトで宣伝された偽のソフトウェア クラックを介して、Windows デバイスに多数の異なるマルウェア ファミリを同時に感染させています。

NullMixer は感染ファネルとして機能し、単一の Windows 実行可能ファイルを使用して多数の異なるマルウェア ファミリを起動し、単一のデバイスを実行する 20 を超える感染につながります。

これらの感染は、パスワードを盗むトロイの木馬、バックドア、スパイウェア、バンカー、偽の Windows システム クリーナー、クリップボード ハイジャッカー、暗号通貨マイナー、さらにはマルウェア ローダーにまで及びます。

マルウェアを配布するために、マルウェア配布者は「ブラック ハット SEO」を使用して、偽のゲーム クラックや海賊版ソフトウェア アクティベーターを宣伝する Web サイトを Google の検索結果の上位に表示します。

BleepingComputer が「ソフトウェア クラック」の Google 検索をテストしたところ、以下に示すように、このマルウェアを配布していると言われているサイトの多くが、検索結果の 2 番目、3 番目、および 4 番目の位置に表示されました。

海賊版ソフトウェア ハンターをおびき寄せる悪意のあるサイト
海賊版ソフトウェアを探すユーザーをおびき寄せる悪意のあるサイト(Kaspersky)

これらのサイトからソフトウェアをダウンロードしようとする無防備なユーザーは、NullMixer ドロッパーのコピーを含むパスワードで保護された ZIP アーカイブをドロップする他の悪意のあるサイトにリダイレクトされます。

ZIP アーカイブのユーザーが自分でダウンロード
ZIP アーカイブのユーザーが自分でダウンロードする(Kaspersky)

ソフトウェアのクラックやチートは一般的にゲーム ファイルを変更する必要があるため、それらをダウンロードするユーザーは、署名されていない潜在的に危険な実行可能ファイルに関する AV 警告を無視し、セキュリティ コントロールをバイパスして手動で実行します。

アナリストが新しいドロッパーを発見したKasperskyは、NullMixer が、米国、ドイツ、フランス、イタリア、インド、ロシア、ブラジル、トルコ、エジプトの 47,778 人の顧客に対して感染を試みたと報告しています。

数十のマルウェアを起動

NullMixer は通常、「win-setup-i864.exe」と同様の名前のファイルとしてダウンロードされ、起動すると「setup_installer.exe」という新しいファイルが作成されます。

この新しいファイルは、数十のマルウェア ファミリをドロップする役割を果たし、それを実行すると、別の実行可能ファイル「setup_install.exe」を起動します。

この 3 番目のファイルは、ハードコーディングされた名前のリストと Windows の cmd.exe ツールを使用して、侵入先のマシンに投下されたすべてのマルウェアを起動します。

NullMixer 実行チェーン
NullMixer 実行チェーン(Kaspersky)

NullMixer によってドロップされるマルウェア ファミリには、Redline Stealer、Danabot、Raccoon Stealer、Vidar Stealer、SmokeLoader、PrivateLoader、ColdStealer、Fabookie、PseudoManuscrypt などがあります。

Nullmixer によって投下されたマルウェア系統の一部
NullMixer (Kaspersky)によって投下されたマルウェア株の一部

NullMixer のオペレーターが、これらすべてのマルウェア ファミリをランダムに侵害されたコンピューターに同時にインストールして起動することを選択した理由は不明です。

オペレーターは、名声のために破壊を引き起こしたり、ツールをマルウェア ギャングに非常に効果的なドロッパーとして宣伝したり、ばかげたレベルの冗長性を実現したりすることを選択する可能性があります。

いずれにせよ、これらすべてのマルウェア ファミリが侵害されたコンピュータで実行され、被害者が感染に気付くための侵害の兆候を大量に生成しないことは事実上不可能です。

これらの症状には、ハード ディスクの負荷が高い、CPU とメモリの使用率が高い、理由もなく異常なウィンドウが開いている、または感染したデバイスで単に顕著なパフォーマンスの問題が発生しているなどがあります。

このように、NullMixer は現在、ステルスな脅威ではなく、Windows の再インストールによってのみ解決できる壊滅的な脅威です。

ユーザーは、あいまいなオンライン ソースから実行可能ファイルをダウンロードするリスクを常に考慮し、ソフトウェアの著作権侵害に頼らないようにする必要があります。