Dropper là một loại phần mềm chuyên dùng cho việc phát tán, phân phối mã độc. Khi được cài trên máy của nạn nhân, dropper sẽ thực hiện các lệnh để tải về và cài đặt các loại mã độc, virus theo thiết lập của hacker.
Mới đây, các nhà nghiên cứu bảo mật phát hiện ra một dropper cực kỳ nguy hiểm mang tên NullMixer. Phương thức lây nhiễm của NullMixer vẫn là qua các công cụ crack phần mềm, crack game giả mạo nhưng điều khiến nó trở nên nguy hiểm chính là khả năng cài đặt cùng lúc hàng chục loại mã độc, virus khác nhau lên máy của nạn nhân.
NullMixer hoạt động như một kênh lây nhiễm, sử dụng một tệp thực thi Windows duy nhất để cài đặt hàng chục loại mã độc khác nhau, lây nhiễm hơn hai chục virus khác nhau trên một thiết bị.
Các mã độc được lây nhiễm thuộc những thể loại như trojan ăn cắp mật khẩu, backdoor, phần mềm gián điệp, phần mềm đánh cắp thông in ngân hàng, công cụ dọn dẹp Windows giả mạo, công cụ đánh cắp clipboard, công cụ khai thác tiền ảo... và thậm chí là các dropper phục vụ việc tải thêm các loại mã độc khác.
Để phân phối NullMixer, hacker sử dụng các thủ thuật SEO mũ đen (black hat SEO) để hiển thị trang web chứa công cụ crack phần mềm, crack game giả mạo, công cụ cheat/hack game giả mạo lên vị trí cao trong kết quả tìm kiếm của Google.
Khi BleepingComputer thử tìm kiếm với từ khóa "crack game" nhiều trang được cho là đang phân phối NullMixer xuất hiện ở các vị trí cao như thứ 2, thứ 3 và thứ 4 trong kết quả tìm kiếm của Google.
Khi người dùng ngây thơ cố gắng tải xuống phần mềm từ những trang web này họ sẽ được chuyển hưởng tới các trang web độc hại khác chứa các file ZIP được bảo vệ bởi mật khẩu. Trong những file ZIP này chính là các bản copy của dropper NullMixer.
Do các loại phần mềm crack, công cụ cheat/hack đều bị chặn bởi các phần mềm diệt virus nên khi tải chúng người dùng thường tắt phần mềm diệt virus đi. Chính vì thế, các loại mã độc, virus có thể dễ dàng được cài đặt vào hệ thống bởi chính người dùng.
Theo Kaspersky, đơn vị phát hiện ra sự tồn tại của NullMixer, hơn 47.778 khách hàng của họ đã bị NullMixer đe dọa. Bản đồ lây nhiễm cho thấy NullMixer hiện diện trên khắp thế giới nhưng có mật độ xuất hiện cao tại Mỹ, Đức, Pháp, Ý, Ấn Độ, Nga, Brazil, Thổ Nhĩ Kỳ và Ai Cập. Việt Nam cũng là một trong những quốc gia có mật độ lây nhiễm NullMixer ở mức cao.
Khởi chạy hàng chục mã độc
NullMixer thường được tải xuống dưới dạng các file có tên tương tự như "win-setup-i864.exe", khi khởi chạy sẽ tạo ra một file mới có tên "setup_installer.exe".
File mới này có nhiệm vụ "thả" vào máy tính của nạn nhân hàng chục loại mã độc và sau đó tiếp tục khởi chạy một file thực thi khác có tên "setup_install.exe".
File thứ ba sẽ khởi chạy tất cả các mã độc có trong máy của nạn nhân qua danh sách chứa tên mã độc được mã cứng và công cụ "cmd.exe" của Windows.
Một số họ mã độc được cài đặt bởi NullMixer gồm Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt...
Lý do tại sao những kẻ vận hành NullMixer chọn cài đặt và khởi chạy hàng đống mã độc đồng thời trên máy của nạn nhân vẫn chưa được hé lộ.
Các nhà nghiên cứu cho rằng những kẻ đằng sau NullMixer muốn tạo ra sự hủy diệt để nổi tiếng, quảng bá công cụ của chúng như là một dropper hiệu quả cho các băng nhóm phát tán mã độc...
Dù là gì đi nữa thì thật khó để che đạy khi chạy hàng chục mã độc cùng lúc trên máy tính của nạn nhân. Nạn nhân sẽ mau chóng nhận ra vấn đề nên NullMixer sẽ chỉ có tác dụng phá hoại còn việc khai thác, đánh cắp dữ liệu và các hoạt động cần thời gian sẽ không hiệu quả.
Sau khi bị NullMixer tấn công, máy tính sẽ có các triệu chứng như hoạt động chậm chạp, mức sử dụng CPU, ổ cứng... tăng vọt, các cửa sổ xuất hiện bất thường...
Nói một cách ngắn gọn, NullMixer không phải là một mối đe dọa lén lút với khả năng phá hoại âm thầm. Khi bị nhiễm, dropper này sẽ ngay lập tức khiến máy tính của bạn bị ảnh hưởng nghiêm trọng về hiệu suất và cách giải quyết duy nhất chính là cài lại hệ điều hành Windows.
Chính vì thế, các bạn nên cân nhắc rủi ro khi tải xuống các file thực thi từ các nguồn không chính thống. Tốt nhất là hãy từ bỏ việc crack phần mềm, crack game cũng như sử dụng các công cụ hack, cheat, gian lận.