Noua campanie activă – NullMixer – vânează datele de plată ale utilizatorilor, criptomonedele și conturile pe rețele sociale

Cercetătorii Kaspersky au descoperit o nouă campanie, care răspândește NullMixer – un malware care fură datele de acreditare ale utilizatorilor, adresele, datele cărților de credit, criptomonede și chiar conturile de Facebook și Amazon. Încercând să descarce software spart de pe site-uri terțe, peste 47.500 de utilizatori au fost atacați cu NullMixer, care este capabil să spioneze utilizatorii, captând orice informație pe care o introduc pe tastatură.

NullMixer este distribuit în mod activ de către infractorii cibernetici prin intermediul site-urilor web care oferă, software spart, generatoare de chei și activatori pentru descărcarea ilegală de software. Astfel de pagini rău intenționate reprezintă întotdeauna o amenințare pentru utilizatori, deoarece în loc să ofere software adecvat, ele infectează dispozitivele victimelor cu malware. În cele mai multe cazuri, utilizatorii primesc adware sau alt software nedorit, dar NullMixer este mult mai periculos, deoarece poate descărca un număr mare de troieni simultan, ceea ce poate duce la o infecție pe scară largă a oricărei rețele de calculatoare.

O infectare tipică are loc atunci când încercați să descărcați software spart de pe unul dintre aceste site-uri. Utilizatorul este redirecționat în mod repetat către o pagină care conține un program arhivat, protejat prin parolă și instrucțiuni detaliate. Totul pare normal, ca și cum utilizatorul ar fi cu adevărat pe cale să descarce software-ul de care are nevoie. Cu toate acestea, urmând instrucțiunile, victima lansează de fapt NullMixer, care încarcă mai multe fișiere malware pe dispozitivul infectat, inclusiv amenințări de tipul downloaders, spyware, backdoors, bankers și altele.

Printre familiile de amenințări răspândite prin NullMixer se numără cunoscutul RedLine care vânează date despre carduri de credit și portofel electronic de criptomonede, de la mașinile infectate, precum și Disbuk, cunoscut și sub numele de Socelar. Furând cookie-uri de pe Facebook și Amazon cu Disbuk, atacatorii pot obține acces la conturile victimei de pe aceste platforme, obținându-și acreditările, adresa și chiar detaliile de plată.

În mod curios, infractorii cibernetici au folosit în mod special instrumente SEO profesionale pentru a se menține în primele rezultate ale motoarelor de căutare, astfel încât acestea puteau fi găsite cu ușurință atunci când persoanele căutau „crack” și „keygen” pe Internet și astfel puteau ținti cât mai mulți utilizatori.

De la începutul acestui an, soluțiile de securitate Kaspersky au blocat încercările de a infecta peste 47.500 de utilizatori din întreaga lume. Unele dintre cele mai vizate țări sunt Brazilia, India, Rusia, Italia, Germania, Franța, Egipt, Turcia și Statele Unite.