Se han reportado múltiples avisos sobre incidentes de seguridad que involucran a nuevas campañas de distribución de un malware de nombre NULLMIXER. Los atacantes se están aprovechando de técnicas de ingeniería social y campañas de phishing para distribuirlo. Actualmente para este malware existen indicadores de compromiso (IoC) públicos y un posible impacto a nivel nacional.
Según los informes se revela que, en dichas campañas de distribución de malware, las principales víctimas son: Italia y Francia. Tras un monitoreo de 30 días de dicho ataque, se confirmó que los atacantes podrían robar datos confidenciales del sistema que se ve afectado, incluyendo credenciales a redes sociales, billeteras digitales, entre otros. También se verificó que los usuarios que se ven afectados cuentan con sistemas Windows 10 Professional y Enterprise, incluidas varias versiones de centros de datos de Windows Server. Algunos de ellos también poseen Windows Embedded, lo que indicaque dicha operación de malware afecta incluso a entornos IoT.
A continuación, los principales sistemas operativos que se encuentran afectados por este malware son:
Los atacantes empezaron con campañas dirigidas a administradores de sistemas (áreas TIC), tras persuadirlos a instalar un código especialmente diseñado en sus máquinas Dichos ataques fueron diseñados para que la víctima instale versiones backdoored y crackeadas de programas utilizados para mantenimiento de equipos, como EaseUS Partition Master y Driver Easy Pro, dos herramientas bien conocidas dentro de la comunidad de TI.
A continuación, la cadena de ejecución de NullMixer:
Indicadores de compromiso (IoC), incluyendo URLs, protocolos, archivos, hash MD5:
[ATK-16]Malvertising:
s://www.youtube.com/watch?v=67UdCa9AbPA
Dropurl:
s://bit.ly/3IqujMB
s://crackfinddownload.blogspot.com/2023/02/your-download-link-httpswww.html
s://mega.nz/file/SRgjGSpL#wDXn2ER24p_e43NwPOtQaa – EelC5MNO5iVhC3CGcuc (5123)
Embeddings:
b2efceab3748f46e64091e87b1767abf brg.exe
e299ac0fd27e67160225400bdd27366f Crack.exe
53f9c2f2f1a755fc04130fd5e9fcaff4 KiffAppE2.exe
aaa7586b2e64363b85571195a01b14e9 lower.exe
6ffbbca108cfe838ca7138e381df210d sqlcmd.exe
c4ffe80effddba0b8d9f82988464c5d0 ss29.exe
C2 (Crashedtech loader):
ttp://crashedff.xyz/addnew.php
47.90.167,104
C2 (Redline):
hrabrlonian,xyz:81
45.130.151,133
C2 (Fabookie Stealer):
count.iiagjaggg .com
154.221.31,191
ttp://34.80.59,191/win.pac
ttp://34.80.59,191:8183/
C2 (koi Stealer/Loader):
ttp://195.123.211,56/index.php
C2 (PseudoManuscrypt):
s://j.ffbbjjkk,com/25.html
s://j.ffbbjjkk,com/logo.png
s://h.ffbbhhtt,com/api6.php
C2 (gcleaner):
ttp://45.12.253,56/advertisting/plus.php
45.12.253,56
45.12.253,72
45.12.253,98
C2 (Raccon Stealer):
ttp://91.201.115,148
Mutex (koi):
Global\\99759703-b8b4–4cb2–8329–76f908b004f0
Para obtener más información sobre los indicadores de compromiso (IoC), acceder al siguiente enlace:
Prevención
Recomendamos descargar software únicamente de páginas oficiales y verificadas. Dichos programas deben activarse y actualizarse utilizando funciones/herramientas proporcionadas por el fabricante, ya que las activaciones ilegales y actualizaciones de terceros podrían contener malware. A su vez, se debe estar atento a no abrir archivos adjuntos, enlaces y mensajes sospechosos enviados al correo electrónico, ya que pueden ser maliciosos y causar infecciones del sistema.
Adicionalmente, recomendamos contar con un antivirus reconocido, instalado y actualizado en el dispositivo para realizar análisis regulares del sistema y eliminar las amenazas detectadas.
Cabe destacar que existen sospechas de que esta campaña de malware podría estar afectando a ciudadanos paraguayos del área de TI.
Referencias:
- https://securityaffairs.com/144092/malware/maas-threats-delivered-through-nullmixer-malware.html?amp=1
- https://www.pcrisk.com/removal-guides/24930-nullmixer-malware
- https://latam.kaspersky.com/blog/nullmixer-trojan-dropper/25372/
- https://www.bleepingcomputer.com/news/security/new-nullmixer-dropper-infects-your-pc-with-a-dozen-malware-families/