2022年09月29日
一个名为“NullMixer”的新型恶意软件投放器正在通过谷歌搜索结果中的恶意网站上推广的虚假软件进行破解,同时用十几个不同的恶意软件系列感染 Windows 设备。
NullMixer 充当感染漏斗,使用单个 Windows 可执行文件启动十几个不同的恶意软件系列,导致运行单个设备的两打以上感染。感染范围包括密码窃取木马、后门、间谍软件、银行家、 Windows 系统清理程序、剪贴板劫持者、加密货币矿工,甚至更多的恶意软件加载程序。
为了分发恶意软件,恶意软件分发者使用“黑帽搜索引擎优化”在谷歌搜索结果排名靠前的位置显示宣传假游戏破解和盗版软件激活器的网站。
BleepingComputer 测试了谷歌对“软件破解”的搜索,许多据称正在分发这种恶意软件的网站(如下所示)被列在搜索结果中的第二、第三和第四个搜索结果位置。
试图从这些站点下载软件的毫无戒心的用户会被重新定向到其他恶意站点,这些站点会丢弃受密码保护的 ZIP 存档,其中包含 NullMixer 下载器的副本。
由于软件破解和作弊通常需要修改游戏文件,因此下载它们的用户会忽略有关未签名和潜在危险可执行文件的 AV 警告,绕过安全控制并手动执行它们。
卡巴斯基的分析师发现了新的滴管,报告称 NullMixer 已经尝试感染美国、德国、法国、意大利、印度、俄罗斯、巴西、土耳其和埃及的 47,778 名客户。
数十种恶意软件
NullMixer 通常以类似于“win-setup-i864.exe”的文件形式下载,启动时会创建一个名为“setup_installer.exe”的新文件。这个新文件负责删除数十个恶意软件系列,然后启动另一个可执行文件“setup_install.exe”。
第三个文件使用硬编码的名称列表和 Windows 的 cmd.exe 工具启动所有在受感染机器中的恶意软件。
NullMixer 删除的一些恶意软件系列包括 Redline Stealer、Danabot、Raccoon Stealer、Vidar Stealer、SmokeLoader、PrivateLoader、ColdStealer、Fabookie、PseudoManuscrypt 等。
NullMixer 运营商选择在随机受感染的计算机上同时安装和启动所有这些恶意软件系列的原因尚不清楚。
运营商可能会选择破坏名誉,将他们的工具宣传为恶意软件团伙的非常有效的投放器,或者实现荒谬的冗余水平。
无论如何,所有这些恶意软件家族几乎不可能在被破坏的计算机上运行,并且不会产生大量的危害症状让受害者意识到感染。
这些症状可能包括硬盘活动繁重、CPU 和内存利用率增加、无故打开异常窗口,或者只是受感染设备上出现明显的性能问题。
因此,NullMixer 现在不再是一种隐蔽的威胁,而是一种可能只能通过重新安装 Windows 才能解决的灾难性遭遇。
用户必须始终考虑从不知名的在线资源下载可执行文件的风险,并避免诉诸软件盗版。
文章来源:E安全,如有侵权请联系删除