Cho những ai chưa biết thì dropper là một loại phần mềm chuyên dùng cho việc phát tán, phân phối các mã độc. Khi được cài trên máy của bạn, dropper sẽ thực hiện các lệnh để tải về và cài đặt các loại mã độc, virus theo thiết lập của hacker.
Vừa qua, những nhà nghiên cứu bảo mật đã phát hiện ra một dropper vô cùng nguy hiểm tên là NullMixer. NullMixer lây nhiễm thông qua các công cụ crack phần mềm, crack game giả mạo nhưng nguy hiểm hơn hết chính là nó có khả năng cài đặt cùng lúc hàng chục loại mã độc, virus khác nhau lên máy của người bị hại.
Phải nói rằng NullMixer hoạt động như một kênh lây nhiễm, sử dụng một tệp thực thi Windows duy nhất để cài đặt hàng chục loại mã độc khác nhau, lây nhiễm hơn hai chục virus khác nhau trên một thiết bị.
Các mã độc được lây nhiễm thuộc những thể loại như trộm ăn cắp mật khẩu, backdoor, phần mềm gián điệp, phần mềm đánh cắp thông in ngân hàng, công cụ dọn dẹp Windows giả mạo, công cụ đánh cắp clipboard, công cụ khai thác tiền ảo... và thậm chí có cả việc các dropper phục vụ tải thêm các loại mã độc khác.
Để phân phối NullMixer, hacker sử dụng các thủ thuật SEO mũ đen (black hat SEO) để hiển thị trang web chứa công cụ crack phần mềm, crack game giả mạo, công cụ cheat/hack game giả mạo lên vị trí cao trong kết quả tìm kiếm của Google.
Khi được thử nghiệm tìm kiếm từ khóa "crack game" nhiều trang được cho là đang phân phối NullMixer xuất hiện ở các vị trí dẫn đầu trang đứng thứ 2, thứ 3 và thứ 4 trong kết quả tìm kiếm của Google.
Khi người dùng không biết gì và cố gắng tải xuống phần mềm từ những trang web này họ sẽ bị chuyển đến các trang web độc hại khác chứa các file ZIP được bảo vệ bởi mật khẩu. Và trong những file ZIP này lại là các bản copy của dropper NullMixer.
Do các loại phần mềm crack, công cụ cheat/hack đều bị chặn bởi các phần mềm diệt virus nên khi tải chúng người dùng thường tắt phần mềm diệt virus đi. Chính nguyên do này tạo cơ hội cho các loại mã độc, virus dễ dàng được cài đặt vào hệ thống bởi chính người dùng.
Theo Kaspersky, đơn vị phát hiện ra sự tồn tại của NullMixer, họ đã thống kê có tới 47.778 khách hàng của họ đã bị NullMixer đe dọa. NullMixer hiện diện trên khắp thế giới nhưng có mật độ xuất hiện cao nằm ở các nước như Mỹ, Đức, Pháp, Ý, Ấn Độ, Nga, Brazil, Thổ Nhĩ Kỳ và Ai Cập. Ngoài ra, Việt Nam cũng là một trong những nước có mật độ lây nhiễm NullMixer ở mức cao.
Khởi chạy hàng chục mã độc
NullMixer thường được tải xuống dưới dạng các file có tên tương tự như "win-setup-i864.exe", khi khởi chạy sẽ tạo ra một file mới có tên "setup_installer.exe".
File mới này có nhiệm vụ "bỏ" vào máy tính của người dùng hàng chục loại mã độc và sau đó tiếp tục khởi chạy một file thực thi khác có tên "setup_install.exe".
File thứ ba sẽ khởi chạy tất cả các mã độc có trong máy của người dùng qua danh sách chứa tên mã độc được mã cứng và công cụ "cmd.exe" của Windows.
Một số họ mã độc được cài đặt bởi NullMixer gồm Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt...
Lý do tại sao những kẻ vận hành NullMixer chọn cài đặt và khởi chạy hàng đống mã độc đồng thời trên máy của nạn nhân vẫn chưa được hé lộ.
Các nhà nghiên cứu cho rằng những kẻ đằng sau NullMixer muốn tạo ra sự hủy diệt để nổi tiếng, quảng bá công cụ của chúng như là một dropper hiệu quả cho các băng nhóm phát tán mã độc...
Dù sao đi nữa thì thật khó để che đậy khi chạy hàng chục mã độc cùng lúc trên máy tính của nạn nhân. Nạn nhân sẽ mau chóng nhận ra vấn đề nên NullMixer sẽ chỉ có tác dụng phá hoại còn việc khai thác, đánh cắp dữ liệu và các hoạt động cần thời gian sẽ không hiệu quả.
Sau khi bị NullMixer tấn công, máy tính sẽ có các triệu chứng như hoạt động chậm chạp, mức sử dụng CPU, ổ cứng... tăng vọt, các cửa sổ xuất hiện bất thường...
Nói một cách ngắn gọn, NullMixer không phải là một mối đe dọa lén lút với khả năng phá hoại âm thầm. Khi bị nhiễm, dropper này sẽ ngay lập tức khiến máy tính của bạn bị ảnh hưởng nghiêm trọng về hiệu suất và cách giải quyết duy nhất chính là cài lại hệ điều hành Windows.
Chính vì thế, các bạn nên cẩn thận khi tải xuống các file thực thi từ các nguồn không chính thống. Tốt nhất là hãy từ bỏ việc crack phần mềm, crack game cũng như sử dụng các công cụ hack, cheat, gian lận.
Dropper NullMixer có thể cài cùng lúc 20 virus làm hại máy tính của bạn
Cho những ai chưa biết thì dropper là một loại phần mềm chuyên dùng cho việc phát tán, phân phối các mã độc. Khi được cài trên máy của bạn, dropper sẽ thực hiện các lệnh để tải về và cài đặt các loại mã độc, virus theo thiết lập của hacker.
Vừa qua, những nhà nghiên cứu bảo mật đã phát hiện ra một dropper vô cùng nguy hiểm tên là NullMixer. NullMixer lây nhiễm thông qua các công cụ crack phần mềm, crack game giả mạo nhưng nguy hiểm hơn hết chính là nó có khả năng cài đặt cùng lúc hàng chục loại mã độc, virus khác nhau lên máy của người bị hại.
Phải nói rằng NullMixer hoạt động như một kênh lây nhiễm, sử dụng một tệp thực thi Windows duy nhất để cài đặt hàng chục loại mã độc khác nhau, lây nhiễm hơn hai chục virus khác nhau trên một thiết bị.
Các mã độc được lây nhiễm thuộc những thể loại như trộm ăn cắp mật khẩu, backdoor, phần mềm gián điệp, phần mềm đánh cắp thông in ngân hàng, công cụ dọn dẹp Windows giả mạo, công cụ đánh cắp clipboard, công cụ khai thác tiền ảo... và thậm chí có cả việc các dropper phục vụ tải thêm các loại mã độc khác.
Để phân phối NullMixer, hacker sử dụng các thủ thuật SEO mũ đen (black hat SEO) để hiển thị trang web chứa công cụ crack phần mềm, crack game giả mạo, công cụ cheat/hack game giả mạo lên vị trí cao trong kết quả tìm kiếm của Google.
Khi được thử nghiệm tìm kiếm từ khóa "crack game" nhiều trang được cho là đang phân phối NullMixer xuất hiện ở các vị trí dẫn đầu trang đứng thứ 2, thứ 3 và thứ 4 trong kết quả tìm kiếm của Google.
Khi người dùng không biết gì và cố gắng tải xuống phần mềm từ những trang web này họ sẽ bị chuyển đến các trang web độc hại khác chứa các file ZIP được bảo vệ bởi mật khẩu. Và trong những file ZIP này lại là các bản copy của dropper NullMixer.
Do các loại phần mềm crack, công cụ cheat/hack đều bị chặn bởi các phần mềm diệt virus nên khi tải chúng người dùng thường tắt phần mềm diệt virus đi. Chính nguyên do này tạo cơ hội cho các loại mã độc, virus dễ dàng được cài đặt vào hệ thống bởi chính người dùng.
Theo Kaspersky, đơn vị phát hiện ra sự tồn tại của NullMixer, họ đã thống kê có tới 47.778 khách hàng của họ đã bị NullMixer đe dọa. NullMixer hiện diện trên khắp thế giới nhưng có mật độ xuất hiện cao nằm ở các nước như Mỹ, Đức, Pháp, Ý, Ấn Độ, Nga, Brazil, Thổ Nhĩ Kỳ và Ai Cập. Ngoài ra, Việt Nam cũng là một trong những nước có mật độ lây nhiễm NullMixer ở mức cao.
Khởi chạy hàng chục mã độc
NullMixer thường được tải xuống dưới dạng các file có tên tương tự như "win-setup-i864.exe", khi khởi chạy sẽ tạo ra một file mới có tên "setup_installer.exe".
File mới này có nhiệm vụ "bỏ" vào máy tính của người dùng hàng chục loại mã độc và sau đó tiếp tục khởi chạy một file thực thi khác có tên "setup_install.exe".
File thứ ba sẽ khởi chạy tất cả các mã độc có trong máy của người dùng qua danh sách chứa tên mã độc được mã cứng và công cụ "cmd.exe" của Windows.
Một số họ mã độc được cài đặt bởi NullMixer gồm Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt...
Lý do tại sao những kẻ vận hành NullMixer chọn cài đặt và khởi chạy hàng đống mã độc đồng thời trên máy của nạn nhân vẫn chưa được hé lộ.
Các nhà nghiên cứu cho rằng những kẻ đằng sau NullMixer muốn tạo ra sự hủy diệt để nổi tiếng, quảng bá công cụ của chúng như là một dropper hiệu quả cho các băng nhóm phát tán mã độc...
Dù sao đi nữa thì thật khó để che đậy khi chạy hàng chục mã độc cùng lúc trên máy tính của nạn nhân. Nạn nhân sẽ mau chóng nhận ra vấn đề nên NullMixer sẽ chỉ có tác dụng phá hoại còn việc khai thác, đánh cắp dữ liệu và các hoạt động cần thời gian sẽ không hiệu quả.
Sau khi bị NullMixer tấn công, máy tính sẽ có các triệu chứng như hoạt động chậm chạp, mức sử dụng CPU, ổ cứng... tăng vọt, các cửa sổ xuất hiện bất thường...
Nói một cách ngắn gọn, NullMixer không phải là một mối đe dọa lén lút với khả năng phá hoại âm thầm. Khi bị nhiễm, dropper này sẽ ngay lập tức khiến máy tính của bạn bị ảnh hưởng nghiêm trọng về hiệu suất và cách giải quyết duy nhất chính là cài lại hệ điều hành Windows.
Chính vì thế, các bạn nên cẩn thận khi tải xuống các file thực thi từ các nguồn không chính thống. Tốt nhất là hãy từ bỏ việc crack phần mềm, crack game cũng như sử dụng các công cụ hack, cheat, gian lận.