New NullMixer Malware Campaign Stealing Users’ Payment Data and Credentials
2022/09/27 TheHackerNews — このサイバー犯罪者は、クラックされた海賊版ソフトウェアを探そうとするユーザーを、武器化されたインストーラーをホストする不正な Web サイトに誘導してシステムを侵害し、NullMixer と呼ばれるマルウェアを展開している。月曜日のレポートで Kaspersky は、「ユーザーが NullMixer を解凍/実行すると、感染したマシンに多数のマルウェア・ファイルがドロップされる。NullMixer は、バックドア/バンカー/ダウンローダー/スパイウェアなどのような、さまざまな悪意のバイナリをドロップして、マシンに感染させる」と述べている。
NullMixer が凶悪なのは、ユーザーの認証情報/住所/クレジットカードのデータ/暗号通貨/Facebook や Amazon アカウントのセッション・クッキーなどを吸い上げるだけではなく、一度に数十のトロイの木馬をダウンロードし、感染の規模を大幅に拡大させる機能を有している点だ。
通常の攻撃チェーンは、いずれかのサイトからユーザーが、クラックされたソフトウェアのダウンロードを試みたときから始まる。それらのサイトは、パスワードで保護されたアーカイブにつながっている。そして、その中に含まれる実行ファイルが、悪意のファイルを大量に配信するように設計された、第2のセットアップ・バイナリをドロップして起動させる。
これらの悪意の Web サイトは、キーワード・スタッフィングなどの検索エンジン最適化 (SEO) ポイズニング技術を利用し、検索エンジンの検索結果で上位に表示されている。GootLoader/SolarMarker キャンペーンの脅威アクターも、同様の手法を採用している。
NullMixer は先月に、Facebook 認証情報の窃盗/検索エンジンの置換を可能にする、不正な Google Chrome エクステンションである、FB Stealer の配布に関与していたことが判明した。
このドロッパーにより配布される著名なマルウェア・ファミリーには、DanaBot/ColdStealer/PseudoManuscrypt/Raccoon Stealer/Redline Stealer/Vidar などの、情報スティーラーが多数含まれている。
また、NullMixer を使用して、FormatLoader/GCleaner/LegionLoader (別名 Satacom )/LgoogLoader/PrivateLoader/SgnitLoader/ShortLoader/SmokeLoader などのトロイ木馬ダウンローダーや、暗号通貨ウォレット・スティーラーである C-Joker が展開されている。
Kaspersky によると、全世界で 47,778人以上の被害者への感染の試行をブロックしており、その大半はブラジル/インド/ロシア/イタリア/ドイツ/フランス/エジプト/トルコ/米国などのユーザーだという。また、NullMixer のオペレーターは、既知のグループに帰属していないとされている。
今回の調査結果は、マルウェアや不要なアプリケーションが、海賊版ソフトウェアを介して大量に伝播していることを改めて示している。オンライン・アカウントを定期的にチェックして、不明な取引がないことを確認してほしい。
Kaspersky のリサーチャーである Haim Zigel は、「信頼できないリソースからファイルをダウンロードすることは、まさにルーレットゲームだ。NullMixer を受信したユーザーは、一度に複数の脅威を受けることになる」と語っている。
文中にあるように、信頼できないサイトからのファイルのダウンロードは、ロシアン・ルーレットのようなものです。しかし、9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」には、それでも危険なダウンロードが止まらない理由が記されています。このブログでは、NullMixer は初登場ですが、この種のマルウェアが増えていくことが予測されます。
IoT OT Security News 
You must be logged in to post a comment.