マルウエアを大量にお届けするNullMixer

NullMixerはドロッパーです。
ドロッパーは名前の通り感染したシステムにマルウェアをインストールします。
こんな感じで動きます。

• 脅威アクターはコンテンツを用意する
  ソフトウェアを違法にダウンロードするための情報などを含むコンテンツを用意します。

   

• 脅威アクターはSEO対策を実施する
  用意したコンテンツが検索エンジンで上位に表示されるようにSEO対策を実施します。
  仕掛けられるキーワードは「cracks」や「keygens」です。
  実際にこの手のコンテンツを欲しい人が検索するキーワードがこういったものであることが多いということでしょうか。

   

• 被害者がファイルをダウンロードする
  ソフトウェアを違法に入手しようとした人は脅威アクターの用意したコンテンツから何かのファイルを入手します。
  そのファイルにはNullMixerが含まれています。
  そのファイルはパスワード保護されているzipファイルになっていますので、ダウンロードしただけの時点ではウイルス対策ソフトなどでの検出は容易ではないでしょう。

   

• NullMixerはマルウェア群を展開する
  被害者は入手したzipファイルにパスワードを入力し、中身を取り出します。
  取り出した中身はNullMixerです。
  NullMixerは多数のマルウェアを動作環境に配置します。
  配置されるマルウェアは、SmokeLoader/Smoke, RedLine Stealer, PseudoManuscrypt,
  ColdStealer, FormatLoader, CsdiMonetize, Disbuk, Fabookie, DanaBot,
  Racealer, Generic.ClipBanker, SgnitLoader, ShortLoader, Downloader.INNO,
  LgoogLoader, Downloader.Bitser, C-Joker, PrivateLoader, Satacom, GCleaner,
  Vidarです。
  これらはよく知られるバックドア、バンカー、クレデンシャル スティーラーなどです。
  多すぎます。
  そして、これらのマルウェアの活動はさらなる被害を呼び込みます。

   

• Windows Defenderを設定変更する
  Windows Defenderによる検出は脅威アクターは期待しません。
  Windows Defenderの設定を変更し、検出されないようにします。

こんなものを自分のパソコンで展開されたらと思うとぞっとします。
ちょっとした出来心だったのかもしれませんが、そんな話では済みそうにありません。
安く済ませようとしたら大きな損害を被ってしまったというお話です。

参考記事（外部リンク）：NullMixer: oodles of Trojans in a single dropper
securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/