'NullMixer' adlı yeni bir kötü amaçlı yazılım damlası, Google arama sonuçlarındaki kötü amaçlı sitelerde tanıtılan sahte yazılım çatlakları aracılığıyla bir düzine farklı kötü amaçlı yazılım ailesiyle pencere cihazlarını aynı anda enfekte ediyor.
NullMixer, bir düzine farklı kötü amaçlı yazılım ailesini başlatmak için tek bir Windows yürütülebilir kullanan bir enfeksiyon hunisi görevi görür ve tek bir cihaz çalıştıran iki düzineden fazla enfeksiyona yol açar.
Bu enfeksiyonlar, şifre çalma truva atları, arka kapılar, casus yazılımlar, bankacılar, sahte Windows sistem temizleyicileri, pano korsanları, kripto para madencileri ve hatta daha fazla kötü amaçlı yazılım yükleyicileri arasında değişmektedir.
Kötü amaçlı yazılımları dağıtmak için, kötü amaçlı yazılım distribütörleri, Google'daki yüksek arama sonuç pozisyonlarında sahte oyun çatlaklarını ve korsan yazılım aktivatörlerini tanıtan web sitelerini görüntülemek için 'Black Hat Seo' kullanır.
BleepingComputer 'yazılım çatlağı' için bir Google aramasını test etti ve bu kötü amaçlı yazılımları dağıttığı söylenen birçok sitenin, aşağıda gösterildiği gibi, ikinci, üçüncü ve dördüncü arama sonucu konumlarındaki arama sonuçlarımızda listelenmiştir.
Bu sitelerden yazılım indirmeye çalışan şüphesiz kullanıcılar, NullMixer Droper'ın bir kopyasını içeren şifre korumalı bir fermuar arşivini bırakan diğer kötü amaçlı sitelere yönlendirilir.
Yazılım çatlakları ve hileler yaygın olarak oyun dosyalarını değiştirmesi gerektiğinden, bunları imzasız ve potansiyel olarak tehlikeli yürütülebilir ürünler hakkında AV uyarılarını göz ardı eden, güvenlik kontrollerini atlayarak ve bunları manuel olarak yürütme kullanıcıları.
Analistleri yeni damlalıkları keşfeden Kaspersky, NullMixer'ın ABD, Almanya, Fransa, İtalya, Hindistan, Rusya, Brezilya, Türkiye ve Mısır'daki 47.778 müşterisinde enfeksiyon girişiminde bulunduğunu bildirdi.
NullMixer genellikle 'win-setup-i864.exe' adlı dosyalar olarak indirilir, 'başlatıldığında' setup_installer.exe 'adlı yeni bir dosya oluşturun.
Bu yeni dosya düzinelerce kötü amaçlı yazılım ailesini bırakmaktan ve bunu yaptıktan sonra başka bir yürütülebilir dosyayı başlatır, 'setup_install.exe'.
Bu üçüncü dosya, adlarının sert kodlanmış bir listesini ve Windows 'cmd.exe' aracını kullanarak tehlikeye atılan makineye bırakılan tüm kötü amaçlı yazılımları başlatır.
NullMixer tarafından bırakılan bazı kötü amaçlı yazılım aileleri, Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, Smokeloader, Privateloader, Coldstealer, Fabookie, Pseudomanuscrypt ve daha fazlasını içerir.
NullMixer operatörlerinin tüm bu kötü amaçlı yazılım ailelerini aynı anda rastgele tehlikeye atılmış bilgisayarlarda yüklemeyi ve başlatmayı seçmesinin nedeni belirsizdir.
Operatörler şöhret için yıkıma neden olmayı, araçlarını kötü amaçlı yazılım çetelerine çok etkili bir damlalık olarak tanıtmayı veya saçma fazlalık seviyesine ulaşmayı tercih edebilirler.
Durum ne olursa olsun, tüm bu kötü amaçlı yazılım ailelerinin ihlal edilen bir bilgisayarda çalışması ve kurbanın enfeksiyonu gerçekleştirmesi için bolca uzlaşma belirtileri üretmemesi neredeyse imkansız olacaktır.
Bu semptomlar ağır sabit disk aktivitesi, artan CPU ve bellek kullanımı, sebepsiz olarak olağandışı pencereler veya enfekte olmuş cihazda fark edilebilir bir performans sorunu içerebilir.
Bu nedenle, NullMixer şimdi daha az gizli bir tehdittir ve daha çok Windows'un yeniden yüklenmesi yoluyla çözülebilecek bir felaketle karşılaşır.
Kullanıcılar her zaman belirsiz çevrimiçi kaynaklardan yürütülebilir dosyaları indirme risklerini dikkate almalı ve yazılım korsanlığına başvurmaktan kaçınmalıdır.
Yeni Kaos Kötü Yazılım Windows, DDOS saldırıları için Linux Cihazları Enfekte
Malware Devs zaten Android 13'ün yeni güvenlik özelliğini atladı
Yükseltilmiş PRILEX Satış Noktası Kötü Yazılım Kredi Kartı Güvenliğini Boylar
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
Saldırılar ve Windows alanlarında bunların nasıl önleneceği
Kaynak: Bleeping Computer