“NullMixer” ได้แฝงมากับซอฟต์แวร์ที่ทำการ Crack (Crack Software)
นักวิจัยพบมัลแวร์ที่มีความสามารถในการขโมยข้อมูลของเป้าหมายเช่น ข้อมูลบัตรเครดิต, Cryptocurrencies, บัญชี Facebook และ Amazon มีชื่อว่า “NullMixer” โดยมัลแวร์ดังกล่าว
ได้แฝงมากับซอฟต์แวร์ที่ทำการ Crack (Crack Software) เมื่อผู้ใช้งานดาวน์โหลดซอฟต์แวร์จากเว็บไซต์
ที่เป็นอันตรายของผู้ไม่ประสงค์ดี ซึ่งมีผู้เสียหายมากกว่า 47,500 ราย
การแพร่กระจายของมัลแวร์เกิดขึ้นจากผู้ใช้งานได้ทำการเข้าสู่เว็บไซต์ที่เป็นอันตราย
เมื่อดาวน์โหลดซอฟต์แวร์จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ที่มีไฟล์ของซอฟต์แวร์เก็บอยู่
ซึ่งถูกป้องกันด้วยรหัสผ่าน และมีคำแนะนำในการดาวน์โหลดอย่างละเอียด
จากนั้นเมื่อทำการแยกไฟล์ (Extracts) หรือเรียกใช้ (Executes) มัลแวร์ดังกล่าวจะ Drops ไฟล์
ที่เป็นอันตรายจำนวนมากไปยังเครื่องคอมพิวเตอร์ของเป้าหมาย ซึ่งประกอบไปด้วย Backdoors, BankingTrojan, Spyware และอื่นๆ อีกด้วย
นอกจากนี้นักวิจัยได้เปิดเผยเทคนิคเพิ่มเติมของผู้ไม่ประสงค์ดีคือ การใช้เทคนิคที่เรียกว่า
“Search Engine Optimization” (SEO) จะทำการปรับแต่งเว็บไซต์เพื่อให้แสดงบนหน้าแรกจากการค้นหา
ใน Search Engine ต่างๆ เช่น ใส่ keyword ในการค้นหา เป็นต้น อีกทั้งมัลแวร์ “NullMixer”
ยังสามารถดาวน์โหลดไฟล์โทรจันอื่นๆ เช่น FormatLoader, GCleaner, LegionLoader, LgoogLoader, PrivateLoader , SgnitLoader, ShortLoader และSmokeLoader
คำแนะนำ
- ควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่เป็นทางการหรือร้านค้าที่มีความน่าเชื่อถือ
- ควรตรวจสอบบัญชีออนไลน์เช่น บัญชี Facebook และ Amazon อยู่เป็นประจำ
เมื่อมีการทำธุรกรรมที่ไม่รู้จัก - ควรใช้รหัสผ่านที่คาดเดาได้ยากและเปลี่ยนรหัสผ่านเป็นระยะๆ เพื่อป้องกันการขโมยข้อมูล
- เปิดการใช้งานการป้องกัน PUA (แอปพลิเคชันที่อาจไม่พึงประสงค์) เพื่อบล็อกการติดตั้งโปรแกรมที่เป็นอันตรายและไม่พึงประสงค์ ใน Microsoft Defender
- ดำเนินการติดตั้ง Anti-Virus และ ทำการ Full-Scan อยู่สม่ำเสมอ
- ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิกสามารถตรวจสอบไฟล์ได้ที่
(https://www.virustotal.com/gui/home/upload)
Ref : https://thehackernews.com/2022/09/new-nullmixer-malware-campaign-stealing.html
สามารถดู IOCs เพิ่มเติมได้จาก
IOCs Ref : https://securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/