Kaspersky Labは9月26日(米国時間)、「NullMixer: oodles of Trojans in a single dropper」において、最近新たに発見された「NullMixer」と呼ばれるマルウェアの詳細な情報を公開した。NullMixerは、感染したPCに対して、他の大量のマルウェアをインストールするドロッパー型のプログラムである。ドロップされるマルウェアの種類が多岐にわたるため被害の規模が予測できず、単体のマルウェアよりも遥かに危険だとされている。

Kaspersky Labのレポートによれば、NullMixerの主な感染経路は「悪意のあるリンク」だという。NullMixerは正規のソフトウェアに偽装されて配布されており、ユーザーが気づかずにダウンロードリンクをクリックすると、別の悪意のあるWebサイトにリダイレクトされて、ファイル共有サイトからパスワード付きZIPファイルをダウンロードするように誘導される。起点となるWebサイトは、多くの場合、ソフトウェアを違法にダウンロードするための「Cracks」や「Keygen」といったソフトウェアの配布サイトに偽装されているという。

  • NullMixerの感染チェーンの実行例(引用: Kaspersky Lab)

    NullMixerの感染チェーンの実行例 引用: Kaspersky Lab

ユーザーがダウンロードしたZIPファイルを展開し、インストーラを実行すると、NullMixerが起動する。NullMixerは、PCを外部から操作できるようにするバックドアプログラムや、銀行口座の情報を盗み出すバンキングマルウェア、個人情報や機密情報を盗み出すスパイウェア、他の悪意のあるマルウェアを取得するダウンローダなど、多数の悪意のあるプログラムを外部からダウンロードして感染させる。

NullMixerによってドロップされるおもなマルウェアファミリーとしては、モジュール型マルウェアのSmokeLoader(別名、Smoke)や、トロイの木馬型ダウンローダの「LgoogLoader」、アカウント情報などを盗み出す「Disbuk」、クレジットカード情報や暗号通貨ウォレットを盗み出す「RedLine Stealer」や「ColdStealer」などが挙げられている。それ以外にも、非常に多くのマルウェアをドロップすることが確認されているという。

  • NullMixerによってドロップされるマルウェアファミリの一例(引用: Kaspersky Lab)

    NullMixerによってドロップされるマルウェアファミリの一例 引用:Kaspersky Lab

Kaspersky Labのレポートには、NullMixerによる侵害の具体的な手口や、ドロップされるおもなマルウェアに関する概要などの情報がまとめられている。Kaspersky Labでは、ライセンスを持っていないソフトウェアを不正な手段で入手して使おうとした場合、NullMixerのような悪意のあるプログラムの標的にされ、かえって大きなコストを支払うことになる可能性があると警告している。