В «ЛК» рассказали, что появилась новая технология заражения ПК жертв вредоносами. Тех, кто ищет кейгены и кряки, перенаправляют на ресурсы мошенников, где им впаривают запуск NullMixer. Этот дроппер подселяет в ОС свыше 10 различных троянов.

В момент скачивания человек проходит через ряд редиректоров и попадает на страницу, где размещены инструкции, касающиеся загрузки с файлообменника RAR или ZIP, на которых стоит пароль, находки с NullMixer. Киберпреступники для выведения своих ресурсов на первые полосы поисковиков используют ряд SEO-способов, например, заполнение расхожими ключами страниц. Нечто сходное уже было в кибератаках SolarMarker и GootLoader, а в августе – в Redline.

После того, как человек выпускает и активирует NullMixer, последний сбрасывает все вредоносы. Среди них есть и такие, которые дополнительно загружает вирусные ПО.

Входящий в общую схему win-setup-i864.exe является NSIS-инсталлятор, пользующийся спросом у создателей софта. Он распаковывает и активирует setup_installer.exe. В реальности это ничто иное, как архив, в котором содержится множество троянов.

Вирусы запускаются по очереди через setup_install.exe. В нем содержится список файловых имен, кроме того он способен работать с Windows NT. Данный компонент делает попытки изменить, используя PowerShell, настройки Microsoft Defender.

Как только вирусы запускаются, стартер связывается с сервером C2, чтобы отчитаться об успехе. Дальше вредоносы начинают жить своей жизнью.

За весь период 2022 г. защита Kaspersky предотвратила попытки заразить системы 47 778 пользователей, являющихся клиентами компании. Особенно активно NullMixer работает в таких странах, как Египет, Соединенные Штаты, Индия, Россия и не только.