Détection du Malware NullMixer: Les Hackers Répandent un Goutte-à-goutte Utilisant le SEO pour Déployer Plusieurs Troyens à la Fois
Table des matières :
Des chercheurs en cybersécurité ont récemment révélé une nouvelle vague de campagnes adverses exploitant un outil de malware nommé NullMixer, propagé via des sites Web malveillants. Le logiciel malveillant se présente comme un logiciel légitime et déploie ensuite un ensemble de chevaux de Troie infectant le système de la victime. Les hackers de NullMixer appliquent des tactiques SEO avancées pour distribuer le malware affectant les moteurs de recherche populaires comme Google.
Détecter le logiciel malveillant NullMixer
Le dropper NullMixer est actuellement en pleine expansion, posant une menace sérieuse à des milliers d’utilisateurs dans le monde entier, car le logiciel malveillant est activement diffusé sur le Web en utilisant des tactiques SEO sophistiquées. Afin de permettre aux défenseurs cyber de détecter l’infection à temps, la plateforme Detection as Code de SOC Prime a récemment publié une nouvelle règle Sigma élaborée par notre développeur du Threat Bounty Program, Zaw Min Htun (ZETA).
Cette règle Sigma détecte le script Inno Setup, qui appartient à l’un des binaires malveillants diffusés par le malware NullMixer. La règle est compatible avec 22 solutions SIEM, EDR et XDR répondant aux besoins divers des professionnels de la cybersécurité.
La détection est alignée avec le cadre MITRE ATT&CK®, abordant la tactique d’Exécution ainsi que l’Exécution par l’utilisateur (T1204) comme sa technique principale.
Les Traqueurs de Menaces et Ingénieurs de Détection en herbe sont invités à rejoindre les rangs du Threat Bounty Program de SOC Prime pour aider la communauté mondiale de défenseurs cyber à enrichir l’expertise collective avec leur propre contenu de détection.
Les professionnels de la cybersécurité qui s’efforcent constamment de se tenir au courant des menaces liées aux logiciels malveillants peuvent cliquer sur le Explorer les Détections bouton ci-dessous pour accéder instantanément à la vaste collection de règles Sigma pertinentes. Les règles Sigma enrichies de contexte pour détecter diverses souches de malwares sont accessibles en quelques clics en parcourant SOC Prime à l’aide de la requête de recherche correspondante.
Analyse de NullMixer
Selon les dernières recherches en cybersécurité, le dropper de malware NullMixer est sous les projecteurs dans le domaine des menaces cyber. Les adversaires diffusent le malware en utilisant des sites Web piratés concentrés sur le crack, keygen, et divers outils pour le téléchargement illégal de malwares. Les campagnes NullMixer ciblent les utilisateurs à l’échelle mondiale, y compris le Brésil, l’Europe et les États-Unis.
Dès qu’une victime potentielle tente de télécharger ce type de logiciel se faisant passer pour légitime, elle est redirigée vers une page de site Web malveillante avec des instructions de téléchargement. Cependant, au lieu de télécharger le logiciel vérifié qu’elle recherchait, elle finit par déployer le fichier ZIP malveillant transportant NullMixer. Cela déclenche une chaîne d’infection sur la machine compromise. Après avoir exécuté l’archive malveillante et l’avoir lancée, NullMixer déploie un ensemble de fichiers malveillants propageant l’infection.
Parmi les souches malveillantes déposées par NullMixer figurent plusieurs chevaux de Troie, tels que des portes dérobées et des voleurs d’informations, appartenant à des familles de logiciels malveillants populaires, y compris SmokeLoader, RedLine stealer, ColdStealer, et plus encore. Les chercheurs en cybersécurité n’ont pas encore attribué NullMixer à un acteur de menace spécifique.
La plateforme Detection as Code de SOC Prime pour la défense cyber collective aide les équipes de sécurité à avoir un avantage compétitif dans la guerre cybernétique mondiale. Obtenez un accès à la demande aux règles Sigma de votre choix pour vous défendre contre les menaces cyber actuelles et émergentes 95 % plus rapidement que vos pairs de l’industrie.
