NullMixer Dropper IOCs

NullMixer - это дроппер, ведущий к цепочке заражения самых разных семейств вредоносных программ. NullMixer распространяется через вредоносные веб-сайты, которые можно найти в основном через поисковые системы. Эти веб-сайты часто связаны с кряками, кейгенами и активаторами для нелегальной загрузки программного обеспечения, и хотя они могут выдавать себя за законное ПО, на самом деле они содержат вредоносную программу-дроппер.

Похоже, что эти сайты используют SEO, чтобы оставаться в верхней части результатов поисковых систем, что позволяет легко найти их при поиске в Интернете по словам "кряки" и "кейгены". Когда пользователи пытаются загрузить программное обеспечение с одного из этих сайтов, они многократно перенаправляются и попадают на страницу, содержащую инструкции по загрузке и заархивированную защищенную паролем вредоносную программу, маскирующуюся под нужное программное обеспечение. Когда пользователь извлекает и запускает NullMixer, он сбрасывает на зараженную машину несколько файлов вредоносного ПО. Среди этих семейств вредоносных программ могут быть бэкдоры, банкиры, похитители учетных данных и так далее. Например, среди семейств, сбрасываемых NullMixer, есть следующие: SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie, ColdStealer.

Indicators of Compromise

IPv4

• 185.186.142.166
• 185.215.113.10
• 185.38.142.132
• 5.9.224.217
• 92.255.57.115

Domains

• ads-memory.biz
• all-mobile-pa1ments.com.mx
• all-smart-green.com
• appwebstat.biz
• banhamm.com
• buy-fantasy-fo0tball.com.sg
• buy-fantasy-gmes.com.sg
• connectini.net
• dll1.stdcdn.com
• enter-me.xyz
• file-coin-host-12.com
• ginta.link
• host-data-coin-11.com
• one-wedding-film.com
• presstheme.me
• real-enter-solutions.xyz
• reoseio.com
• signaturebusinesspark.com
• toa.mygametoa.com
• topexpertshop.com
• topniemannpicksh0p.cc

URLs

• 178.62.113.205/runtermo
• 185.163.204.22/runtermo
• 185.163.45.70/runtermo
• 212.193.30.21/base/api/
• 212.193.30.45/proxies.txt
• am1420wbec.com/upload/
• dollybuster.at/upload/
• egsagl.com/upload/
• fennsports.com/upload/
• hhiuew33.com/check/safe
• http://104.168.215.231/kde.exe
• http://137.184.159.42/
• http://185.186.142.166/wallet.exe
• http://careerguide4u.online/wp-content/plugins/google-analytics-for-wordpress/BlackCleanerSetp521234.exe
• http://eurekabike.com/pmzero/design/img/LightCleaner9252839.exe
• http://jackytpload.su/campaign6/autosubplayer.exe
• http://onlinehueplet.com/77_1.exe
• http://privacy-tools-for-you-782.com/downloads/toolspab2.exe
• http://privacy-tools-for-you-791.com/downloads/toolspab1.exe
• http://remviagra.com/pub1.exe
• http://stylesheet.faseaegasdfase.com/hp8/g1/rtst1051.exe
• http://stylesheet.faseaegasdfase.com\/hp8/g1/siww1053.exe
• http://tg8.cllgxx.com/hp8/g1/yrpp1047.exe
• http://www.sxhxrj.com/askhelp35/askinstall35.exe
• http://www.sxhxrj.com/askhelp42/askinstall42.exe
• http://zenitsu.s3.pl-waw.scw.cloud/pub-summoning/poweroff.exe
• https://azilominehostz.xyz/
• https://cdn.discordapp.com/attachments/917889480646590537/935966171835031612/Cube_WW6.exe
• https://cdn.discordapp.com/attachments/917889480646590537/943130993404018709/Fixtools.exe
• https://cdn.discordapp.com/attachments/934006169125679147/943432754161410108/WW19.exe
• https://cdn.discordapp.com/attachments/937783814208491553/937784072967692368/SecondFile.exe
• https://dll1.stdcdn.com/
• https://flexnetinformatica.com.br/wp-content/plugins/elementor/assets/LightCleaner2132113.exe
• https://gc-distribution.biz/pub.php?pub=five
• https://i.xyzgamei.com/gamexyz/2201/random.exe
• https://i.xyzgamei.com/gamexyz/2203/random.exe
• https://i.xyzgamei.com/gamexyz/25/random.exe
• https://patchlinks.com/
• https://presstheme.me/
• https://signaturebusinesspark.com/360/fw3.exe
• https://signaturebusinesspark.com/360/fw4.exe
• https://signaturebusinesspark.com/360/fw6.exe
• https://source3.boys4dayz.com/installer.exe
• https://tengenuzui.s3.pl-waw.scw.cloud/makio/cpm_pr_vp46up4d6j_.exe
• https://tengenuzui.s3.pl-waw.scw.cloud/makio/handler_wbba4vzm89rxskhs.exe
• https://tengenuzui.s3.pl-waw.scw.cloud/makio/updto_bgn64wau5x_date.exe
• https://v.xyzgamev.com/23.html
• https://v.xyzgamev.com/25.html
• https://v.xyzgamev.com/login.html
• islamic-city.com/upload/
• mordo.ru/upload/
• nahbleiben.at/upload/
• noblecreativeaz.com/upload/
• piratia-life.ru/upload/
• recmaster.ru/upload/
• remik-franchise.ru/upload/
• sovels.ru/upload/
• spaldingcompanies.com/upload/
• tvqaq.cn/upload/
• whsddzs.com/Home/Index/djksye

MD5

• 06b31367d65a411b1f2a7b3091fb31d4
• 12dbc75b071077042c097afd59b2137f
• 2086e25fb651f0a8d713024de2168b9b
• 33f7383c2eb9b20e11e6a149aa62dea4
• 362592241e15293c68d0f24468723bbb
• 3739256794ebf9ba8c6597a4687c8799
• 4008d7f17a08efd3fbd18e4e1ba29e00
• 42100baf34c4b1b0e89f1c2ef94cf8f8
• 446119332738133d3ecd2d00ebe5d0ec
• 4d75dea49f6bd60f725fae9c28cd0960
• 4dd3f638d4c370abeb3ebf59cad8ed2f
• 4ec312d77817d8fb90403ff87b88d5e3
• 4feba8683daa18545e9f9408e4cd07bd
• 584b186152a16161e502816bf990747c
• 5994de41d8b4ed3bbb4f870a33cb839a
• 5b14369c347439becacaa0883c07f17b
• 639de55e338bfcea8daae727141af3d1
• 7875aab3e23f885df12ff62d9ef5db50
• 79400b1fd740d9cb7ec7c2c2e9a7d618
• 7e58613ddb2fdd10eed17bbce5b3e0a9
• 883403c940b477cee083efeea8c252c6
• 98f0556a846f223352da516af66fa1a0
• 9f1eaa0ff990913f7d4dfd31841de47a
• 9f8800bf866e944efb2034ec56ed574e
• aaeff1f8e7bd3a81c69c472bcd211a7b
• ac458cabfed224353545707df966a2ba
• af817aad791628143019ffde530d0ef7
• b0448525c5a00135bb5b658cc6745574
• b2620ffe40493fdf9e771bff3bdcbc44
• b2a2f85b4201446b23a250f68051b4dc
• b8ecec542a07067a193637269973c2e8
• c41a85123af144790520f502fe190110
• cc722fd0bd387cf472350dc2dd7ddd1e
• ce54b9287c3e4b5733035d0be085d989
• ceada3798fd16fac13f053d0c6f4d198
• d5c1c44d19d8d6e8c0f739cab439e45e
• d91325640f392d33409b8f1b2315b97c
• e65bf2d56fcaa18c1a8d0d481072dc62
• f94bf1734f34665a65a835cc04a4ad95
• fbd3940d1ad28166d8539eae23d44d5b