Los ciberdelincuentes continúan aprovechándose de los usuarios que buscan software descifrado al dirigirlos a sitios web fraudulentos que alojan instaladores armados que implementan malware llamado mezclador nulo en sistemas comprometidos.
«Cuando un usuario extrae y ejecuta NullMixer, arroja una cantidad de archivos de malware a la máquina comprometida», dijo la firma de seguridad cibernética Kaspersky en un informe del lunes. «Lanza una amplia variedad de binarios maliciosos para infectar la máquina, como puertas traseras, banqueros, descargadores, spyware y muchos otros».
Además de desviar las credenciales de los usuarios, la dirección, los datos de la tarjeta de crédito, las criptomonedas e incluso las cookies de sesión de la cuenta de Facebook y Amazon, lo que hace que NullMixer sea insidioso es su capacidad para descargar docenas de troyanos a la vez, lo que amplía significativamente la escala de las infecciones.
Las cadenas de ataque generalmente comienzan cuando un usuario intenta descargar software descifrado de uno de los sitios, lo que conduce a un archivo protegido con contraseña que contiene un archivo ejecutable que, por su parte, descarga y ejecuta un segundo binario de configuración diseñado para entregar una variedad de archivos maliciosos
Estos sitios web maliciosos aprovechan las técnicas de envenenamiento de optimización de motores de búsqueda (SEO), como el relleno de palabras clave, para destacarlos en los resultados de los motores de búsqueda. Tácticas similares han sido adoptado por los actores detrás de las campañas GootLoader y SolarMarker.
NullMixer, el mes pasado, se vinculó a la distribución de una extensión falsa de Google Chrome llamada FB Stealer, que es capaz de robar credenciales de Facebook y sustituir motores de búsqueda.
Algunas de las otras familias de malware prominentes distribuidas por el cuentagotas incluyen DanaBot y una gran cantidad de malware que roba información, como LadrónfríoPseudoManuscrypt, Raccoon Stealer, Redline Stealer y Vidar.
También se implementan con NullMixer descargadores de troyanos como FormatLoader, GCleaner, LegionLoader (también conocido como Satacom), LgoogLoader, PrivateLoader, SgnitLoader, ShortLoader y SmokeLoader, así como el ladrón de billeteras de criptomonedas C-Joker.
Kaspersky dijo que bloqueó los intentos de infectar a más de 47.778 víctimas en todo el mundo, con la mayoría de los usuarios ubicados en Brasil, India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y EE. UU. El actor de amenazas que opera NullMixer no ha sido atribuido a un grupo conocido.
Los últimos hallazgos son otra indicación de que el malware y las aplicaciones no deseadas se propagan cada vez más a través de software pirateado. También se recomienda verificar las cuentas en línea con regularidad en busca de transacciones desconocidas.
«Cualquier descarga de archivos de recursos no confiables es un verdadero juego de ruleta: nunca se sabe cuándo se activará y qué amenaza obtendrá esta vez», dijo el investigador de Kaspersky Haim Zigel. dijo. «Al recibir NullMixer, los usuarios reciben varias amenazas a la vez».