‘NullMixer’ adlı yeni bir kötü amaçlı yazılım düşürücü, Google Arama sonuçlarında kötü amaçlı sitelerde tanıtılan sahte yazılım çatlakları yoluyla Windows cihazlarına bir düzine farklı kötü amaçlı yazılım ailesini aynı anda bulaştırıyor.
NullMixer, bir düzine farklı kötü amaçlı yazılım ailesini başlatmak için tek bir Windows yürütülebilir dosyasını kullanarak bir bulaşma hunisi görevi görür ve tek bir cihazı çalıştıran iki düzineden fazla enfeksiyona yol açar.
Bu enfeksiyonlar arasında parola çalan truva atları, arka kapılar, casus yazılımlar, bankacılar, sahte Windows sistem temizleyicileri, pano korsanları, kripto para madencileri ve hatta daha fazla kötü amaçlı yazılım yükleyici bulunur.
Kötü amaçlı yazılımı dağıtmak için, kötü amaçlı yazılım dağıtıcıları, sahte oyun cracklerini ve korsan yazılım etkinleştiricilerini tanıtan web sitelerini Google’da yüksek arama sonucu konumlarında görüntülemek için ‘siyah şapka SEO’yu kullanır.
BleepingComputer, ‘yazılım çatlağı’ için bir Google aramasını test etti ve aşağıda gösterildiği gibi bu kötü amaçlı yazılımı dağıttığı söylenen sitelerin çoğu, arama sonuçlarımızda ikinci, üçüncü ve dördüncü arama sonucu konumlarında listelendi.

Bu sitelerden yazılım indirmeye çalışan şüpheli olmayan kullanıcılar, NullMixer damlalığının bir kopyasını içeren parola korumalı bir ZIP arşivi bırakan diğer kötü amaçlı sitelere yönlendirilir.

Yazılım çatlakları ve hilelerin genellikle oyun dosyalarını değiştirmesi gerektiğinden, bunları indiren kullanıcılar imzasız ve potansiyel olarak tehlikeli yürütülebilir dosyalar hakkındaki AV uyarılarını dikkate almaz, güvenlik denetimlerini atlar ve bunları manuel olarak yürütür.
KasperskyAnalistleri yeni damlalığı keşfeden , NullMixer’ın ABD, Almanya, Fransa, İtalya, Hindistan, Rusya, Brezilya, Türkiye ve Mısır’daki 47.778 müşterisinde enfeksiyon girişiminde bulunduğunu bildirdi.
Düzinelerce kötü amaçlı yazılım başlatma
NullMixer, genellikle ‘win-setup-i864.exe’ ile benzer şekilde adlandırılan dosyalar olarak indirilir ve başlatıldığında ‘setup_installer.exe’ adlı yeni bir dosya oluşturur.
Bu yeni dosya, düzinelerce kötü amaçlı yazılım ailesini bırakmaktan sorumludur ve bunu yaptıktan sonra başka bir yürütülebilir dosya olan ‘setup_install.exe’yi başlatır.
Bu üçüncü dosya, adlarının sabit kodlanmış bir listesini ve Windows’ cmd.exe’ aracını kullanarak güvenliği ihlal edilmiş makineye bırakılan tüm kötü amaçlı yazılımları başlatır.

NullMixer tarafından bırakılan bazı kötü amaçlı yazılım aileleri arasında Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt ve daha fazlası bulunur.

NullMixer operatörlerinin tüm bu kötü amaçlı yazılım ailelerini aynı anda rastgele ele geçirilmiş bilgisayarlara yüklemeyi ve başlatmayı seçmesinin nedeni belirsizdir.
Operatörler, şöhret için yıkıma neden olmayı seçebilir, araçlarını kötü amaçlı yazılım çetelerine çok etkili bir damla olarak tanıtabilir veya saçma düzeyde fazlalık elde edebilir.
Durum ne olursa olsun, tüm bu kötü amaçlı yazılım ailelerinin, ihlal edilmiş bir bilgisayarda çalışması ve kurbanın enfeksiyonu fark etmesi için bol miktarda uzlaşma belirtileri oluşturmaması neredeyse imkansız olacaktır.
Bu belirtiler arasında yoğun sabit disk etkinliği, artan CPU ve bellek kullanımı, sebepsiz yere açılan olağandışı pencereler veya yalnızca virüslü aygıtta gözle görülür bir performans sorunu yer alabilir.
Bu nedenle, NullMixer artık daha az gizli bir tehdit ve yalnızca Windows’un yeniden yüklenmesiyle çözülebilecek daha çok yıkıcı bir karşılaşmadır.
Kullanıcılar her zaman belirsiz çevrimiçi kaynaklardan yürütülebilir dosyaları indirmenin risklerini göz önünde bulundurmalı ve yazılım korsanlığına başvurmaktan kaçınmalıdır.