Detecção de Malware NullMixer: Hackers Espalham um Dropper Usando SEO para Implantar Múltiplos Trojans de uma Vez
Índice:
Pesquisadores de cibersegurança revelaram recentemente uma nova onda de campanhas adversárias aproveitando uma ferramenta de malware chamada NullMixer, espalhada por sites maliciosos. O dropper de malware é uma isca que se disfarça como software legítimo, que implanta um conjunto de Trojans infectando o sistema da vítima. Os hackers do NullMixer aplicam táticas avançadas de SEO para distribuir o malware que afeta motores de busca populares como o Google.
Detectar o Dropper de Malware NullMixer
O dropper NullMixer está atualmente em ascensão, representando uma ameaça séria para milhares de usuários em todo o mundo, já que o malware é ativamente espalhado na web usando táticas sofisticadas de SEO. Para permitir que os defensores cibernéticos detectem a infecção a tempo, a plataforma Detection as Code da SOC Prime lançou recentemente uma nova regra Sigma elaborada pelo nosso perspicaz desenvolvedor do Programa Threat Bounty, Zaw Min Htun (ZETA).
Possível Execução do malware ‘Downloader.INNO’ pela Detecção de Arquivos Associados (via file_event)
Esta regra Sigma detecta o Script de Instalação Inno, que pertence a um dos binários maliciosos espalhados pelo malware NullMixer. A regra é compatível com 22 soluções SIEM, EDR e XDR, correspondendo às diversas necessidades de ambiente dos profissionais de cibersegurança.
A detecção está alinhada com o framework MITRE ATT&CK®, abordando a tática de Execução junto com a Execução pelo Usuário (T1204) como sua técnica principal.
Caçadores de Ameaças e Engenheiros de Detecção aspirantes são bem-vindos para se juntar às fileiras do Programa Threat Bounty da SOC Prime para ajudar a comunidade global de defensores cibernéticos a enriquecer o conhecimento coletivo com seu próprio conteúdo de detecção.
Profissionais de cibersegurança que constantemente se esforçam para se manterem atualizados sobre ameaças relacionadas a malware podem clicar no Explorar Detecções botão abaixo para acessar instantaneamente a ampla coleção de regras Sigma relevantes. As regras Sigma enriquecidas com contexto para detectar diversas linhagens de malware estão acessíveis em poucos cliques navegando pelo SOC Prime usando a consulta de pesquisa correspondente.
Análise do NullMixer
De acordo com a mais recente pesquisa de cibersegurança, o dropper de malware NullMixer está ganhando destaque no cenário de ameaças cibernéticas. Os adversários espalham o malware usando sites piratas focados em crack, keygen e diversas ferramentas para download ilegal de malware. As campanhas do NullMixer têm como alvo usuários em escala global, incluindo Brasil, Europa e EUA.
Assim que uma vítima em potencial tenta baixar tal software, disfarçado como legítimo, ela é redirecionada para uma página do site malicioso com diretrizes de download. No entanto, em vez de baixar o software verificado que estão procurando, acabam implantando o arquivo ZIP malicioso que contém o NullMixer. Isso desencadeia uma cadeia de infecção na máquina comprometida. Após executar o arquivo malicioso e rodá-lo, o NullMixer implanta um conjunto de arquivos maliciosos espalhando ainda mais a infecção.
Entre as linhagens maliciosas implantadas pelo NullMixer estão múltiplos Trojans, como backdoors e ladrões de informações, que pertencem a famílias de malware populares, incluindo SmokeLoader, RedLine stealer, ColdStealer, e mais. Os pesquisadores de cibersegurança ainda não atribuíram o NullMixer a nenhum ator de ameaça específico.
A plataforma Detection as Code da SOC Prime para defesa cibernética coletiva ajuda as equipes de segurança a terem uma vantagem competitiva na guerra cibernética global. Ganhe acesso sob demanda a regras Sigma de sua escolha para se defender contra ameaças cibernéticas atuais e emergentes 95% mais rápido do que seus colegas na indústria.
