Le logiciel malveillant polymorphe NullMixer vise désormais les terminaux français

Les cybercriminels ciblent apparemment des machines en France et en Italie avec une nouvelle campagne fondée sur le malware NullMixer, selon la récente découverte d'experts en cybersécurité.

La campagne vise principalement les appareils exécutant les systèmes d'exploitation Windows, y compris Windows 10 Professionnel, Entreprise et Serveur. Cependant, les experts ont trouvé des utilisateurs de Windows Embedded parmi les victimes, indiquant que le malware s'est également glissé dans les appareils IoT (objets connectés).

Le logiciel malveillant NullMixer est connu pour déposer un éventail de composants nuisibles sur des systèmes ciblés, notamment des voleurs d'informations, des espiogiciels, des téléchargeurs furtifs et des chevaux de Troie bancaires. Après avoir accédé aux terminaux, les pirates volent des données sensibles et les revendent sur les marchés clandestins du dark web.

Les auteurs utilisent diverses techniques de propagation de logiciels malveillants, telles que l'ingénierie sociale et le référencement abusif (SEO poisoning). La récente campagne de NullMixer a incité les administrateurs système à télécharger des versions vérolées d'outils de maintenance populaires pour PC, offrant aux attaquants un point d'entrée vers les systèmes infectés.

«Le pack NullMixer comprend de nouveaux chargeurs polymorphes de fournisseurs de services MaaS (malware as a service) et PPI (pay per install) tiers sur les marchés souterrains, ainsi que des morceaux de code PseudoManuscript controversé, potentiellement lié à la Corée du Nord», lit-on dans le rapport technique de Security Affair.

Le rapport indique que l'opération a compromis plus de 8 000 machines en seulement 30 jours, "avec un accent particulier sur les cibles nord-américaines, italiennes et françaises".

Cela montre également que le logiciel malveillant utilise des techniques rudimentaires d'évasion de la défense, telles que la vérification de la présence de contrôleurs vidéo utilisés dans le cadre d'émulation et les noms d'utilisateur communs définis par les routines d'émulation antivirus.

Les chercheurs ont repéré un autre indice qui pourrait révéler l'agenda des acteurs de la menace : le logiciel évite d'exécuter des actions malveillantes si la machine compromise est définie sur la langue d'un des pays de la CEI (ex-URSS), notamment :

AZ : Azerbaïdjan
AM : Arménie
PAR : Biélorussie
KZ : Kazakhstan
KG : Kirghizistan
MD : Moldavie
UR : Russie
TJ : Tadjikistan
MT : Turkménistan
UZ : Ouzbékistan

Des logiciels spécialisés tels que Bitdefender Premium Security peuvent vous protéger des cybermenaces grâce à leur vaste éventail de fonctionnalités, notamment :

• Surveillance et protection complètes 24h/24 et 7j/7 contre les virus, les vers, les chevaux de Troie, les logiciels espions, les rootkits, les exploits zero-day et autres menaces numériques
• Module de détection comportementale qui surveille de près les applications actives et prend des mesures instantanées lors de la détection d'une activité suspecte
• Technologie de prévention des menaces réseau qui bloque les activités suspectes au niveau du réseau, y compris les attaques par force brute, les URL liées aux botnets et les exploits sophistiqués
• Module d'évaluation des vulnérabilités qui identifie les risques de sécurité sur votre machine, tels que les logiciels obsolètes, les correctifs de sécurité manquants et les paramètres système dangereux, puis suggère la meilleure solution