27/03/2023    

BOLETÍN NRO 2023-198

La mayoría de las víctimas montan sistemas operativos Windows 10 Professional y Enterprise, incluyendo varias versiones de Windows Server Datacenter. El paquete NullMixer incluye nuevos cargadores polimórficos de terceros proveedores de servicios MaaS y PPI en los mercados subterráneos, así como piezas del controvertido código de PseudoManuscrito potencialmente relacionado con Corea del Norte.

Durante marzo de 2023, se obtuvo información y datos sobre una operación de malware en curso que afecta a más de 8.000 objetivos en pocas semanas, con un énfasis particular en los objetivos de América del Norte, Italia y Francia. Se trata de la operación mundial de malware conocida como NullMixer, una maniobra de entrega de malware generalizada y controvertida basada en la técnica de envenenamiento de SEO y de ingeniería social para atraer a usuarios conocedores de la tecnología, incluido el personal de TI.

De acuerdo con la investigación de la infraestructura adversa de CTI, se identificó una campaña en curso que engaña a los administradores del sistema para que instalen el código malicioso en sus máquinas. En particular, la ola de ataques identificada fue diseñada para engañar a los usuarios para que instalen versiones pirateadas y con puertas traseras de software de mantenimiento de PC notorios como "EaseUS Partition Master" y "Driver Easy Pro", dos herramientas bien conocidas dentro de la comunidad de TI.

A pesar de la evolución de la técnica de ingeniería social de NullMixer, la carga útil inicial sigue siendo sustancialmente la misma, un archivo ejecutable WinRAR que contiene múltiples binarios configurados para ser autoejecutados al hacer clic, lo que da lugar a una multitud de malware relacionado con diferentes actores de amenazas. Entre ellos se encuentra Crack.exe, probablemente un cargador "PseudoManuscrito", un tipo particular de amenaza conocida desde junio de 2021 que los antivirus atribuye al panorama de amenazas chino, así como otros cargadores de malware poco convencionales.

En resumen, esta investigación sobre la operación del malware NullMixer reveló la presencia de nuevos cargadores polimórficos de terceros proveedores de servicios MaaS y PPI en la deep web, y piezas de código controvertidas, potencialmente relacionadas con Corea del Norte. Además, los datos recopilados indican que Italia y Francia son los países europeos favoritos desde la perspectiva de los atacantes.

Indicadores de Compromiso

IP

45[.]12[.]253[.]56

45[.]12[.]253[.]72

45[.]12[.]253[.]98

34[.]80[.]59[.]191

154[.]221[.]31[.]191

45[.]130[.]151[.]133

47[.]90[.]167[.]104

Dominio

iiagjaggg[.]com

ffbbjjkk[.]com

URL

hxxps[:]//mega[.]nz/file/SRgjGSpL#wDXn2ER24p_e43NwPOtQaa

hxxps[:]//mega[.]nz/file/EelC5MNO5iVhC3CGcuc

hxxps[:]//bit[.]ly/3IqujMB

Hash

MD5: b2efceab3748f46e64091e87b1767abf

SHA-256: 0a795a738cf70201bfbd01f4b88a7dbb35493c39154b9a5ea0cf4b2e974ffe26

MD5: e299ac0fd27e67160225400bdd27366f

SHA-256: cb2758f0f595a4fd22411088590a3bb671834342e73b86c4ef9d863d28eec8ed

MD5: 53f9c2f2f1a755fc04130fd5e9fcaff4

SHA-256: e37fb761922a83426384d20cf959ea563df4575e6b9d4387f06129a47e7f848e

MD5: aaa7586b2e64363b85571195a01b14e9

SHA-256: 53828b4c45798c42a15c42d20cf65a705ec534e28ec86cc5d6312afb2d0a7e9d

MD5: 6ffbbca108cfe838ca7138e381df210d

SHA-256: dab30b7895ab22c54ae495b1e99d858f2b2132bf849b4f4d0ea9a7832539ed78

MD5: c4ffe80effddba0b8d9f82988464c5d0

SHA-256: abf9055ecd138cf00061982957d9f141006743f7f967c478b0acf4aace79012b