I criminali informatici continuano a predare gli utenti alla ricerca di software craccato indirizzandoli verso siti web fraudolenti che ospitano installatori armati che distribuiscono il malware NullMixer sui sistemi compromessi. “Quando un utente estrae ed esegue NullMixer, rilascia una serie di file malware sulla macchina compromessa”, ha dichiarato la società di cybersicurezza Kaspersky in un rapporto di lunedì. “Scarica un’ampia varietà di file binari dannosi con cui infettare la macchina, come backdoor, banker, downloader, spyware e molti altri”. Oltre a rubare le credenziali degli utenti, gli indirizzi, i dati delle carte di credito, le criptovalute e persino i cookie di sessione degli account Facebook e Amazon, ciò che rende insidioso NullMixer è la sua capacità di scaricare decine di trojan contemporaneamente, ampliando in modo significativo la portata delle infezioni. Le catene di attacco iniziano tipicamente quando un utente tenta di scaricare software craccato da uno dei siti, il che porta a un archivio protetto da password che contiene un file eseguibile che, da parte sua, rilascia e lancia un secondo binario di setup progettato per fornire una serie di file dannosi.
Questi siti web dannosi sfruttano tecniche di avvelenamento dell’ottimizzazione dei motori di ricerca (SEO), come il keyword stuffing, per essere posizionati in alto nei risultati dei motori di ricerca. Tattiche simili sono state adottate dagli attori dietro le campagne GootLoader e SolarMarker. NullMixer, il mese scorso, è stato collegato alla distribuzione di un’estensione di Google Chrome rogue chiamata FB Stealer, in grado di rubare le credenziali di Facebook e sostituire i motori di ricerca. Alcune delle altre principali famiglie di malware distribuite dal dropper includono DanaBot e una serie di malware che rubano informazioni come ColdStealer, PseudoManuscrypt, Raccoon Stealer, Redline Stealer e Vidar. Utilizzando NullMixer, sono stati diffusi anche trojan downloader come FormatLoader, GCleaner, LegionLoader (alias Satacom), LgoogLoader, PrivateLoader, SgnitLoader, ShortLoader e SmokeLoader, così come il ruba portafogli di criptovalute C-Joker. Kaspersky ha dichiarato di aver bloccato i tentativi di infettare oltre 47.778 vittime in tutto il mondo, con la maggior parte degli utenti localizzati in Brasile, India, Russia, Italia, Germania, Francia, Egitto, Turchia e Stati Uniti. L’attore della minaccia che opera NullMixer non è stato attribuito a un gruppo noto. Le ultime scoperte sono un’ulteriore indicazione del fatto che il malware e le applicazioni indesiderate sono sempre più diffuse tramite software pirata. Si raccomanda inoltre di controllare regolarmente i conti online per verificare la presenza di transazioni sconosciute. “Qualsiasi download di file da risorse non affidabili è un vero e proprio gioco della roulette: non si sa mai quando scatterà e quale minaccia si riceverà questa volta”, ha dichiarato Haim Zigel, ricercatore di Kaspersky. “Ricevendo NullMixer, gli utenti ricevono diverse minacce contemporaneamente”.
