I ricercatori di Kaspersky hanno scoperto una nuova campagna che distribuisce NullMixer, un malware che ruba credenziali degli utenti, indirizzi, dati delle carte di credito, criptovalute e account di Facebook e Amazon e che porta a una catena di infezione di un’ampia varietà di famiglie di malware. Cercando di scaricare software corrotti da siti di terze parti, oltre 47.500 utenti in tutto il mondo, tra cui 1.242 in Italia, sono stati attaccati da NullMixer, che può spiare gli utenti, catturando tutte le informazioni digitate sulla tastiera.
NullMixer si diffonde tramite siti Web dannosi che possono essere trovati principalmente tramite i motori di ricerca, i quali sono spesso correlati a crack, keygen e attivatori per il download illegale di software. Questi siti Web utilizzino strumenti SEO per rimanere in cima ai risultati dei motori di ricerca, rendendoli facili da trovare durante la ricerca su Internet di “crack” e “keygen”. Quando gli utenti tentano di scaricare software da uno di questi siti, vengono reindirizzati più volte e finiscono in una pagina contenente le istruzioni per il download e il malware archiviato protetto da password mascherato da software legittimo. Una volta che l’utente estrae ed esegue NullMixer, il malware rilascia una serie di file malware sul computer compromesso. Questi possono includere backdoor, downloader, spyware, backdoor, banker e altre minacce.
L’intera catena di infezione di NullMixer è la seguente:
- L’utente visita un sito Web per scaricare software, keygen o attivatori crackati.
- L’utente fa clic sul collegamento per il download del software desiderato.
- Il collegamento reindirizza l’utente a un altro sito Web dannoso.
- Il sito Web dannoso reindirizza l’utente a una pagina Web con indirizzo IP di terze parti.
- La pagina Web indica all’utente di scaricare un file ZIP protetto da password da un sito Web di condivisione file.
- L’utente estrae il file archiviato con la password.
- L’utente esegue il programma di installazione ed esegue il malware.
Tra le famiglie diffuse tramite NullMixer ci sono: SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie, ColdStealer. Esfiltrando i cookie da Facebook e Amazon con Disbuk, i threat actors possono accedere agli account delle vittime da questi siti, ottenendo le loro credenziali, l’indirizzo e persino i dettagli di pagamento.
Dall’inizio di quest’anno le soluzioni di sicurezza Kaspersky hanno bloccato i tentativi di infettare più di 47.500 utenti in tutto il mondo. Tra i Paesi più bersagliati troviamo: Brasile, India, Russia, Germania, Francia, Egitto, Turchia e Stati Uniti e anche l’Italia con un totale, quest’ultima, di 1.242 utenti attaccati.
“Qualsiasi download di file da risorse non affidabili è un vero e proprio giro di roulette: non si sa mai cosa uscirà. Con NullMixer gli utenti ricevono diverse minacce contemporaneamente. Qualsiasi informazione digitata sulla tastiera sarà a disposizione degli attaccanti: dai messaggi scritti agli amici su Facebook, all’account Amazon oltre a login e password del dispositivo o degli investimenti in criptovaluta fino ai dati della carta di credito. Di conseguenza, il dispositivo con tutte le informazioni dell’utente è nelle mani dei criminali informatici. È importante ricordarlo quando si decide di scaricare qualcosa da un sito sconosciuto, perché questa minaccia può essere evitata usando solo prodotti autorizzati e soluzioni di sicurezza affidabili“, ha commentato Haim Zigel, Security Researcher di Kaspersky.
https://securelist.com/nullmixer-oodles-of-trojans-in-a-single-dropper/107498/