NullMixer - это дроппер, ведущий к цепочке заражения самых разных семейств вредоносных программ. NullMixer распространяется через вредоносные веб-сайты, которые можно найти в основном через поисковые системы. Эти веб-сайты часто связаны с кряками, кейгенами и активаторами для нелегальной загрузки программного обеспечения, и хотя они могут выдавать себя за законное ПО, на самом деле они содержат вредоносную программу-дроппер.
Похоже, что эти сайты используют SEO, чтобы оставаться в верхней части результатов поисковых систем, что позволяет легко найти их при поиске в Интернете по словам "кряки" и "кейгены". Когда пользователи пытаются загрузить программное обеспечение с одного из этих сайтов, они многократно перенаправляются и попадают на страницу, содержащую инструкции по загрузке и заархивированную защищенную паролем вредоносную программу, маскирующуюся под нужное программное обеспечение. Когда пользователь извлекает и запускает NullMixer, он сбрасывает на зараженную машину несколько файлов вредоносного ПО. Среди этих семейств вредоносных программ могут быть бэкдоры, банкиры, похитители учетных данных и так далее. Например, среди семейств, сбрасываемых NullMixer, есть следующие: SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie, ColdStealer.
Indicators of Compromise
IPv4
- 185.186.142.166
- 185.215.113.10
- 185.38.142.132
- 5.9.224.217
- 92.255.57.115
Domains
- ads-memory.biz
- all-mobile-pa1ments.com.mx
- all-smart-green.com
- appwebstat.biz
- banhamm.com
- buy-fantasy-fo0tball.com.sg
- buy-fantasy-gmes.com.sg
- connectini.net
- dll1.stdcdn.com
- enter-me.xyz
- file-coin-host-12.com
- ginta.link
- host-data-coin-11.com
- one-wedding-film.com
- presstheme.me
- real-enter-solutions.xyz
- reoseio.com
- signaturebusinesspark.com
- toa.mygametoa.com
- topexpertshop.com
- topniemannpicksh0p.cc
URLs
- 178.62.113.205/runtermo
- 185.163.204.22/runtermo
- 185.163.45.70/runtermo
- 212.193.30.21/base/api/
- 212.193.30.45/proxies.txt
- am1420wbec.com/upload/
- dollybuster.at/upload/
- egsagl.com/upload/
- fennsports.com/upload/
- hhiuew33.com/check/safe
- http://104.168.215.231/kde.exe
- http://137.184.159.42/
- http://185.186.142.166/wallet.exe
- http://careerguide4u.online/wp-content/plugins/google-analytics-for-wordpress/BlackCleanerSetp521234.exe
- http://eurekabike.com/pmzero/design/img/LightCleaner9252839.exe
- http://jackytpload.su/campaign6/autosubplayer.exe
- http://onlinehueplet.com/77_1.exe
- http://privacy-tools-for-you-782.com/downloads/toolspab2.exe
- http://privacy-tools-for-you-791.com/downloads/toolspab1.exe
- http://remviagra.com/pub1.exe
- http://stylesheet.faseaegasdfase.com/hp8/g1/rtst1051.exe
- http://stylesheet.faseaegasdfase.com\/hp8/g1/siww1053.exe
- http://tg8.cllgxx.com/hp8/g1/yrpp1047.exe
- http://www.sxhxrj.com/askhelp35/askinstall35.exe
- http://www.sxhxrj.com/askhelp42/askinstall42.exe
- http://zenitsu.s3.pl-waw.scw.cloud/pub-summoning/poweroff.exe
- https://azilominehostz.xyz/
- https://cdn.discordapp.com/attachments/917889480646590537/935966171835031612/Cube_WW6.exe
- https://cdn.discordapp.com/attachments/917889480646590537/943130993404018709/Fixtools.exe
- https://cdn.discordapp.com/attachments/934006169125679147/943432754161410108/WW19.exe
- https://cdn.discordapp.com/attachments/937783814208491553/937784072967692368/SecondFile.exe
- https://dll1.stdcdn.com/
- https://flexnetinformatica.com.br/wp-content/plugins/elementor/assets/LightCleaner2132113.exe
- https://gc-distribution.biz/pub.php?pub=five
- https://i.xyzgamei.com/gamexyz/2201/random.exe
- https://i.xyzgamei.com/gamexyz/2203/random.exe
- https://i.xyzgamei.com/gamexyz/25/random.exe
- https://patchlinks.com/
- https://presstheme.me/
- https://signaturebusinesspark.com/360/fw3.exe
- https://signaturebusinesspark.com/360/fw4.exe
- https://signaturebusinesspark.com/360/fw6.exe
- https://source3.boys4dayz.com/installer.exe
- https://tengenuzui.s3.pl-waw.scw.cloud/makio/cpm_pr_vp46up4d6j_.exe
- https://tengenuzui.s3.pl-waw.scw.cloud/makio/handler_wbba4vzm89rxskhs.exe
- https://tengenuzui.s3.pl-waw.scw.cloud/makio/updto_bgn64wau5x_date.exe
- https://v.xyzgamev.com/23.html
- https://v.xyzgamev.com/25.html
- https://v.xyzgamev.com/login.html
- islamic-city.com/upload/
- mordo.ru/upload/
- nahbleiben.at/upload/
- noblecreativeaz.com/upload/
- piratia-life.ru/upload/
- recmaster.ru/upload/
- remik-franchise.ru/upload/
- sovels.ru/upload/
- spaldingcompanies.com/upload/
- tvqaq.cn/upload/
- whsddzs.com/Home/Index/djksye
MD5
- 06b31367d65a411b1f2a7b3091fb31d4
- 12dbc75b071077042c097afd59b2137f
- 2086e25fb651f0a8d713024de2168b9b
- 33f7383c2eb9b20e11e6a149aa62dea4
- 362592241e15293c68d0f24468723bbb
- 3739256794ebf9ba8c6597a4687c8799
- 4008d7f17a08efd3fbd18e4e1ba29e00
- 42100baf34c4b1b0e89f1c2ef94cf8f8
- 446119332738133d3ecd2d00ebe5d0ec
- 4d75dea49f6bd60f725fae9c28cd0960
- 4dd3f638d4c370abeb3ebf59cad8ed2f
- 4ec312d77817d8fb90403ff87b88d5e3
- 4feba8683daa18545e9f9408e4cd07bd
- 584b186152a16161e502816bf990747c
- 5994de41d8b4ed3bbb4f870a33cb839a
- 5b14369c347439becacaa0883c07f17b
- 639de55e338bfcea8daae727141af3d1
- 7875aab3e23f885df12ff62d9ef5db50
- 79400b1fd740d9cb7ec7c2c2e9a7d618
- 7e58613ddb2fdd10eed17bbce5b3e0a9
- 883403c940b477cee083efeea8c252c6
- 98f0556a846f223352da516af66fa1a0
- 9f1eaa0ff990913f7d4dfd31841de47a
- 9f8800bf866e944efb2034ec56ed574e
- aaeff1f8e7bd3a81c69c472bcd211a7b
- ac458cabfed224353545707df966a2ba
- af817aad791628143019ffde530d0ef7
- b0448525c5a00135bb5b658cc6745574
- b2620ffe40493fdf9e771bff3bdcbc44
- b2a2f85b4201446b23a250f68051b4dc
- b8ecec542a07067a193637269973c2e8
- c41a85123af144790520f502fe190110
- cc722fd0bd387cf472350dc2dd7ddd1e
- ce54b9287c3e4b5733035d0be085d989
- ceada3798fd16fac13f053d0c6f4d198
- d5c1c44d19d8d6e8c0f739cab439e45e
- d91325640f392d33409b8f1b2315b97c
- e65bf2d56fcaa18c1a8d0d481072dc62
- f94bf1734f34665a65a835cc04a4ad95
- fbd3940d1ad28166d8539eae23d44d5b