マルウエアを大量にお届けするNullMixer

ほぼこもセキュリティニュース By Terilogy Worx

NullMixerはドロッパーです。
ドロッパーは名前の通り感染したシステムにマルウェアをインストールします。
こんな感じで動きます。

  • 脅威アクターはコンテンツを用意する
    ソフトウェアを違法にダウンロードするための情報などを含むコンテンツを用意します。

     

  • 脅威アクターはSEO対策を実施する
    用意したコンテンツが検索エンジンで上位に表示されるようにSEO対策を実施します。
    仕掛けられるキーワードは「cracks」や「keygens」です。
    実際にこの手のコンテンツを欲しい人が検索するキーワードがこういったものであることが多いということでしょうか。

     

  • 被害者がファイルをダウンロードする
    ソフトウェアを違法に入手しようとした人は脅威アクターの用意したコンテンツから何かのファイルを入手します。
    そのファイルにはNullMixerが含まれています。
    そのファイルはパスワード保護されているzipファイルになっていますので、ダウンロードしただけの時点ではウイルス対策ソフトなどでの検出は容易ではないでしょう。

     

  • NullMixerはマルウェア群を展開する
    被害者は入手したzipファイルにパスワードを入力し、中身を取り出します。
    取り出した中身はNullMixerです。
    NullMixerは多数のマルウェアを動作環境に配置します。
    配置されるマルウェアは、SmokeLoader/Smoke, RedLine Stealer, PseudoManuscrypt,
    ColdStealer, FormatLoader, CsdiMonetize, Disbuk, Fabookie, DanaBot,
    Racealer, Generic.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO,
    LgoogLoader, Downloader.Bitser, C-Joker, PrivateLoader, Satacom, GCleaner,
    Vidarです。
    これらはよく知られるバックドア、バンカー、クレデンシャル スティーラーなどです。
    多すぎます。
    そして、これらのマルウェアの活動はさらなる被害を呼び込みます。

     

  • Windows Defenderを設定変更する
    Windows Defenderによる検出は脅威アクターは期待しません。
    Windows Defenderの設定を変更し、検出されないようにします。

こんなものを自分のパソコンで展開されたらと思うとぞっとします。
ちょっとした出来心だったのかもしれませんが、そんな話では済みそうにありません。
安く済ませようとしたら大きな損害を被ってしまったというお話です。

参考記事(外部リンク):NullMixer: oodles of Trojans in a single dropper
securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。