NullMixer Dropper IOCs

security IOC

NullMixer - это дроппер, ведущий к цепочке заражения самых разных семейств вредоносных программ. NullMixer распространяется через вредоносные веб-сайты, которые можно найти в основном через поисковые системы. Эти веб-сайты часто связаны с кряками, кейгенами и активаторами для нелегальной загрузки программного обеспечения, и хотя они могут выдавать себя за законное ПО, на самом деле они содержат вредоносную программу-дроппер.

Похоже, что эти сайты используют SEO, чтобы оставаться в верхней части результатов поисковых систем, что позволяет легко найти их при поиске в Интернете по словам "кряки" и "кейгены". Когда пользователи пытаются загрузить программное обеспечение с одного из этих сайтов, они многократно перенаправляются и попадают на страницу, содержащую инструкции по загрузке и заархивированную защищенную паролем вредоносную программу, маскирующуюся под нужное программное обеспечение. Когда пользователь извлекает и запускает NullMixer, он сбрасывает на зараженную машину несколько файлов вредоносного ПО. Среди этих семейств вредоносных программ могут быть бэкдоры, банкиры, похитители учетных данных и так далее. Например, среди семейств, сбрасываемых NullMixer, есть следующие: SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie, ColdStealer.

NullMixer

Indicators of Compromise

IPv4

  • 185.186.142.166
  • 185.215.113.10
  • 185.38.142.132
  • 5.9.224.217
  • 92.255.57.115

Domains

  • ads-memory.biz
  • all-mobile-pa1ments.com.mx
  • all-smart-green.com
  • appwebstat.biz
  • banhamm.com
  • buy-fantasy-fo0tball.com.sg
  • buy-fantasy-gmes.com.sg
  • connectini.net
  • dll1.stdcdn.com
  • enter-me.xyz
  • file-coin-host-12.com
  • ginta.link
  • host-data-coin-11.com
  • one-wedding-film.com
  • presstheme.me
  • real-enter-solutions.xyz
  • reoseio.com
  • signaturebusinesspark.com
  • toa.mygametoa.com
  • topexpertshop.com
  • topniemannpicksh0p.cc

URLs

  • 178.62.113.205/runtermo
  • 185.163.204.22/runtermo
  • 185.163.45.70/runtermo
  • 212.193.30.21/base/api/
  • 212.193.30.45/proxies.txt
  • am1420wbec.com/upload/
  • dollybuster.at/upload/
  • egsagl.com/upload/
  • fennsports.com/upload/
  • hhiuew33.com/check/safe
  • http://104.168.215.231/kde.exe
  • http://137.184.159.42/
  • http://185.186.142.166/wallet.exe
  • http://careerguide4u.online/wp-content/plugins/google-analytics-for-wordpress/BlackCleanerSetp521234.exe
  • http://eurekabike.com/pmzero/design/img/LightCleaner9252839.exe
  • http://jackytpload.su/campaign6/autosubplayer.exe
  • http://onlinehueplet.com/77_1.exe
  • http://privacy-tools-for-you-782.com/downloads/toolspab2.exe
  • http://privacy-tools-for-you-791.com/downloads/toolspab1.exe
  • http://remviagra.com/pub1.exe
  • http://stylesheet.faseaegasdfase.com/hp8/g1/rtst1051.exe
  • http://stylesheet.faseaegasdfase.com\/hp8/g1/siww1053.exe
  • http://tg8.cllgxx.com/hp8/g1/yrpp1047.exe
  • http://www.sxhxrj.com/askhelp35/askinstall35.exe
  • http://www.sxhxrj.com/askhelp42/askinstall42.exe
  • http://zenitsu.s3.pl-waw.scw.cloud/pub-summoning/poweroff.exe
  • https://azilominehostz.xyz/
  • https://cdn.discordapp.com/attachments/917889480646590537/935966171835031612/Cube_WW6.exe
  • https://cdn.discordapp.com/attachments/917889480646590537/943130993404018709/Fixtools.exe
  • https://cdn.discordapp.com/attachments/934006169125679147/943432754161410108/WW19.exe
  • https://cdn.discordapp.com/attachments/937783814208491553/937784072967692368/SecondFile.exe
  • https://dll1.stdcdn.com/
  • https://flexnetinformatica.com.br/wp-content/plugins/elementor/assets/LightCleaner2132113.exe
  • https://gc-distribution.biz/pub.php?pub=five
  • https://i.xyzgamei.com/gamexyz/2201/random.exe
  • https://i.xyzgamei.com/gamexyz/2203/random.exe
  • https://i.xyzgamei.com/gamexyz/25/random.exe
  • https://patchlinks.com/
  • https://presstheme.me/
  • https://signaturebusinesspark.com/360/fw3.exe
  • https://signaturebusinesspark.com/360/fw4.exe
  • https://signaturebusinesspark.com/360/fw6.exe
  • https://source3.boys4dayz.com/installer.exe
  • https://tengenuzui.s3.pl-waw.scw.cloud/makio/cpm_pr_vp46up4d6j_.exe
  • https://tengenuzui.s3.pl-waw.scw.cloud/makio/handler_wbba4vzm89rxskhs.exe
  • https://tengenuzui.s3.pl-waw.scw.cloud/makio/updto_bgn64wau5x_date.exe
  • https://v.xyzgamev.com/23.html
  • https://v.xyzgamev.com/25.html
  • https://v.xyzgamev.com/login.html
  • islamic-city.com/upload/
  • mordo.ru/upload/
  • nahbleiben.at/upload/
  • noblecreativeaz.com/upload/
  • piratia-life.ru/upload/
  • recmaster.ru/upload/
  • remik-franchise.ru/upload/
  • sovels.ru/upload/
  • spaldingcompanies.com/upload/
  • tvqaq.cn/upload/
  • whsddzs.com/Home/Index/djksye

MD5

  • 06b31367d65a411b1f2a7b3091fb31d4
  • 12dbc75b071077042c097afd59b2137f
  • 2086e25fb651f0a8d713024de2168b9b
  • 33f7383c2eb9b20e11e6a149aa62dea4
  • 362592241e15293c68d0f24468723bbb
  • 3739256794ebf9ba8c6597a4687c8799
  • 4008d7f17a08efd3fbd18e4e1ba29e00
  • 42100baf34c4b1b0e89f1c2ef94cf8f8
  • 446119332738133d3ecd2d00ebe5d0ec
  • 4d75dea49f6bd60f725fae9c28cd0960
  • 4dd3f638d4c370abeb3ebf59cad8ed2f
  • 4ec312d77817d8fb90403ff87b88d5e3
  • 4feba8683daa18545e9f9408e4cd07bd
  • 584b186152a16161e502816bf990747c
  • 5994de41d8b4ed3bbb4f870a33cb839a
  • 5b14369c347439becacaa0883c07f17b
  • 639de55e338bfcea8daae727141af3d1
  • 7875aab3e23f885df12ff62d9ef5db50
  • 79400b1fd740d9cb7ec7c2c2e9a7d618
  • 7e58613ddb2fdd10eed17bbce5b3e0a9
  • 883403c940b477cee083efeea8c252c6
  • 98f0556a846f223352da516af66fa1a0
  • 9f1eaa0ff990913f7d4dfd31841de47a
  • 9f8800bf866e944efb2034ec56ed574e
  • aaeff1f8e7bd3a81c69c472bcd211a7b
  • ac458cabfed224353545707df966a2ba
  • af817aad791628143019ffde530d0ef7
  • b0448525c5a00135bb5b658cc6745574
  • b2620ffe40493fdf9e771bff3bdcbc44
  • b2a2f85b4201446b23a250f68051b4dc
  • b8ecec542a07067a193637269973c2e8
  • c41a85123af144790520f502fe190110
  • cc722fd0bd387cf472350dc2dd7ddd1e
  • ce54b9287c3e4b5733035d0be085d989
  • ceada3798fd16fac13f053d0c6f4d198
  • d5c1c44d19d8d6e8c0f739cab439e45e
  • d91325640f392d33409b8f1b2315b97c
  • e65bf2d56fcaa18c1a8d0d481072dc62
  • f94bf1734f34665a65a835cc04a4ad95
  • fbd3940d1ad28166d8539eae23d44d5b
SEC-1275-1
Добавить комментарий