Detección de Malware NullMixer: Hackers Difunden un Dropper Usando SEO para Desplegar Múltiples Troyanos a la Vez
Tabla de contenidos:
Investigadores de ciberseguridad han revelado recientemente una nueva ola de campañas adversarias que aprovechan una herramienta de malware llamada NullMixer, distribuida a través de sitios web maliciosos. El dropper de malware es un señuelo que se hace pasar por software legítimo, que despliega además un conjunto de troyanos que infectan el sistema de la víctima. Los hackers de NullMixer aplican tácticas avanzadas de SEO para distribuir el malware que afecta a motores de búsqueda populares como Google.
Detectar el Dropper de Malware NullMixer
El dropper NullMixer está actualmente en aumento, representando una seria amenaza para miles de usuarios en todo el mundo ya que el malware se distribuye activamente a través de la web usando sofisticadas tácticas de SEO. Para permitir a los defensores cibernéticos detectar oportunamente la infección, la plataforma Detection as Code de SOC Prime ha lanzado recientemente una nueva regla Sigma creada por nuestro atento desarrollador del Programa Threat Bounty, Zaw Min Htun (ZETA).
Esta regla Sigma detecta el Script de Inno Setup, que pertenece a uno de los binarios maliciosos distribuidos por el malware NullMixer. La regla es compatible con 22 soluciones SIEM, EDR y XDR que coinciden con las diversas necesidades del entorno de los practicantes de ciberseguridad.
La detección está alineada con el marco MITRE ATT&CK®, abordando la táctica de Ejecución junto con la técnica de Ejecución de Usuario (T1204) como su técnica principal.
Los aspirantes a cazadores de amenazas e ingenieros de detección son bienvenidos a unirse a las filas del Programa Threat Bounty de SOC Prime para ayudar a la comunidad global de defensores cibernéticos a enriquecer la experiencia colectiva con su propio contenido de detección.
Los profesionales de ciberseguridad que se esfuerzan constantemente por mantenerse al tanto de las amenazas relacionadas con el malware pueden hacer clic en el Explorar Detecciones botón de abajo para acceder instantáneamente a la amplia colección de reglas Sigma relevantes. Las reglas Sigma, enriquecidas de contexto y curadas para detectar diversas cepas de malware, son accesibles en unos pocos clics al navegar por SOC Prime utilizando la consulta de búsqueda correspondiente.
Análisis de NullMixer
De acuerdo con la última investigación de ciberseguridad, el dropper de malware NullMixer está destacando en el panorama de amenazas cibernéticas. Los adversarios distribuyen el malware utilizando sitios web pirateados enfocados en cracks, keygen y diversas herramientas para la descarga ilegal de malware. Las campañas de NullMixer tienen como objetivo a usuarios a escala global, incluyendo Brasil, Europa y EE.UU.
Tan pronto como una posible víctima intenta descargar dicho software que se hace pasar por legítimo, es redirigida a una página web maliciosa con pautas de descarga. Sin embargo, en lugar de descargar el software verificado que buscan, terminan desplegando el archivo ZIP malicioso que lleva a NullMixer. Esto desencadena una cadena de infección en la máquina comprometida. Después de ejecutar el archivo malicioso y ejecutarlo, NullMixer despliega un conjunto de archivos de malware que propagan aún más la infección.
Entre las cepas maliciosas distribuidas por NullMixer hay múltiples troyanos, como puertas traseras y robadores de información, que pertenecen a familias de malware populares, incluyendo SmokeLoader, RedLine stealer, ColdStealer, y más. Los investigadores de ciberseguridad aún no han atribuido NullMixer a ningún actor de amenaza específico.
La plataforma Detection as Code de SOC Prime para la defensa cibernética colectiva ayuda a los equipos de seguridad a tener una ventaja competitiva en la guerra cibernética global. Obtén acceso bajo demanda a las reglas Sigma de tu elección para defenderte contra las amenazas cibernéticas actuales y emergentes un 95% más rápido que tus pares en la industria.
