Nouvelle campagne de logiciels malveillants NullMixer volant les données de paiement et les informations d’identification des utilisateurs


Les cybercriminels continuent de s’attaquer aux utilisateurs à la recherche de logiciels piratés en les dirigeant vers des sites Web frauduleux hébergeant des installateurs armés qui déploient des logiciels malveillants appelés NullMixer sur les systèmes compromis.

« Lorsqu’un utilisateur extrait et exécute NullMixer, il dépose un certain nombre de fichiers malveillants sur la machine compromise », a déclaré la société de cybersécurité Kaspersky dans un rapport publié lundi. « Il dépose une grande variété de fichiers binaires malveillants pour infecter la machine, tels que des portes dérobées, des banquiers, des téléchargeurs, des logiciels espions et bien d’autres. »

En plus de siphonner les informations d’identification, l’adresse, les données de carte de crédit, les crypto-monnaies et même les cookies de session de compte Facebook et Amazon des utilisateurs, ce qui rend NullMixer insidieux, c’est sa capacité à télécharger des dizaines de chevaux de Troie à la fois, élargissant considérablement l’ampleur des infections.

La cyber-sécurité

Les chaînes d’attaque commencent généralement lorsqu’un utilisateur tente de télécharger un logiciel piraté à partir de l’un des sites, ce qui conduit à une archive protégée par mot de passe contenant un fichier exécutable qui, pour sa part, dépose et lance un deuxième binaire d’installation conçu pour fournir un tableau de fichiers malveillants.

Logiciel malveillant NullMixer

Ces sites Web malveillants tirent parti des techniques d’empoisonnement de l’optimisation des moteurs de recherche (SEO) telles que le bourrage de mots clés pour les mettre en avant dans les résultats des moteurs de recherche. Des tactiques similaires ont été adopté par les acteurs derrière les campagnes GootLoader et SolarMarker.

NullMixer, le mois dernier, était lié à la distribution d’une extension malveillante de Google Chrome appelée FB Stealer, qui est capable de voler les informations d’identification de Facebook et de remplacer les moteurs de recherche.

DanaBot et une série de logiciels malveillants voleurs d’informations tels que ColdStealerPseudoManuscrypt, Raccoon Stealer, Redline Stealer et Vidar.

La cyber-sécurité

NullMixer utilise également des téléchargeurs de chevaux de Troie tels que FormatLoader, GCleaner, LegionLoader (alias Satacom), LgoogLoader, PrivateLoader, SgnitLoader, ShortLoader et SmokeLoader, ainsi que le voleur de portefeuille de crypto-monnaie C-Joker.

Kaspersky a déclaré avoir bloqué les tentatives d’infection de plus de 47 778 victimes dans le monde, la majorité des utilisateurs étant situés au Brésil, en Inde, en Russie, en Italie, en Allemagne, en France, en Égypte, en Turquie et aux États-Unis. L’acteur malveillant exploitant NullMixer n’a pas été attribué à un groupe connu.

Les dernières découvertes sont une autre indication que les logiciels malveillants et les applications indésirables se propagent de plus en plus via des logiciels piratés. Il est également recommandé de vérifier régulièrement les comptes en ligne pour les transactions inconnues.

« Tout téléchargement de fichiers à partir de ressources non fiables est un véritable jeu de roulette : vous ne savez jamais quand il se déclenchera et quelle menace vous recevrez cette fois-ci », a déclaré Haim Zigel, chercheur chez Kaspersky. a dit. « En recevant NullMixer, les utilisateurs reçoivent plusieurs menaces à la fois. »



ttn-fr-57