Дроппер NullMixer приносит с собой целый букет троянов разного профиля

Дроппер NullMixer приносит с собой целый букет троянов разного профиля

Дроппер NullMixer приносит с собой целый букет троянов разного профиля

Эксперты «Лаборатории Касперского» предупреждают о новой вредоносной кампании, использующей черную оптимизацию. Пользователей, ищущих кряки и кейгены, направляют на мошеннические сайты и под видом желанного софта заставляют запустить дроппер NullMixer, который внедряет в Windows более десятка разных троянских программ — даунлоудеров, шпионов, инфостилеров.

Когда потенциальная жертва пытается скачать находку, ее проводят через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR, который содержит NullMixer. Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют нечистоплотные SEO-методы, такие как заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.

Когда жертва высвобождает и запускает NullMixer, он скидывает свою полезную нагрузку — кучу вредоносных файлов. Некоторые из них при исполнении загружают дополнительных зловредов.

 

Включенный в схему заражения файл win-setup-i864.exe представляет собой NSIS-инсталлятор, популярный у разработчиков софта. В данном случае он извлекает и запускает setup_installer.exe, который на самом деле является архивным файлом, начиненным троянами.

Поочередный запуск вредоносов осуществляется через стартер setup_install.exe, который снабжен вшитым списком имен файлов и умеет пользоваться интерпретатором команд Windows NT. Этот компонент также пытается изменить настройки Microsoft Defender с помощью команды PowerShell — чтобы лучше скрыть полезную нагрузку NullMixer.

После запуска всех сброшенных файлов стартер подключается к C2-серверу, чтобы сообщить об успешной инсталляции. После этого оживших зловредов отпускают в свободное плавание.

Мониторинг выявил множество вредоносных бинарников, доставляемых с помощью NullMixer. Среди них встречаются загрузчики вроде SmokeLoader и GCleaner, инфостилеры (Raccoon, Redline, Vidar), банкеры (DanaBot), шпионы (PseudoManuscrypt), опустошители криптокошельков (ClipBanker).

 

С начала года защитные решения Kaspersky заблокировали попытки заражения у 47 778 клиентов ИБ-компании. Повышенная активность NullMixer наблюдается в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Пятый алгоритм HQC дополнит стандарты NIST по постквантовому шифрованию

Национальный институт стандартов и технологий США (NIST) объявил о включении пятого алгоритма — HQC — в свой портфель постквантовой криптографии (PQC). Этот алгоритм станет резервным для ML-KEM и предназначен для механизмов encapsulation (KEM).

Согласно опубликованному отчету (PDF) о четвертом раунде стандартизации PQC, NIST планирует выпустить черновой стандарт HQC в начале 2026 года, а финализированный стандарт ожидается в 2027 году.

До этого институциональный портфель PQC уже включал четыре алгоритма, три из которых были утверждены в качестве стандартов:

Четвертый алгоритм, FALCON, проходит этап стандартизации и вскоре будет опубликован как FIPS 206 (FN-DSA).

HQC, как и ML-KEM, предназначен для установления общего секретного ключа по открытому каналу. В отличие от ML-KEM, построенного на основе структурированных решеток, HQC использует математический аппарат кодов исправления ошибок.

Алгоритм HQC требует больше вычислительных ресурсов и обладает большей длиной ключа, но, по словам ведущего специалиста NIST Дастина Муди, «его чистота и безопасность делают его достойным резервным вариантом».

В категории цифровых подписей (DSA) основным стандартом остается Dilithium (FIPS 204, ML-DSA). FALCON (FIPS 206, FN-DSA) предлагается для случаев, где требуется меньший размер подписи, а Sphincs+ (FIPS 205, SLH-DSA) выступает в качестве резервного алгоритма на основе криптографических хеш-функций.

Несмотря на включение HQC, NIST подчеркивает, что организациям не следует откладывать переход на постквантовую криптографию в ожидании резервных алгоритмов. В первую очередь рекомендуется использовать ML-KEM и другие уже утвержденные стандарты.

«Мы добавили HQC, чтобы иметь резервный вариант, использующий иной математический подход, чем ML-KEM», — пояснил Муди.

Таким образом, с включением HQC NIST завершил формирование полного набора первичных и резервных алгоритмов для постквантового шифрования, обеспечивая криптографическую гибкость (crypto agility) на случай будущих угроз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru