I criminali informatici continuano a depredare gli utenti alla ricerca di software crackato indirizzandoli a siti Web fraudolenti che ospitano installar.exe che al loro interno distribuiscono malware chiamato NullMixer su sistemi compromessi.
“Quando un utente estrae ed esegue NullMixer, rilascia un certo numero di file malware sulla macchina compromessa”, ha detto la società di sicurezza informatica Kaspersky in un rapporto di lunedì. “Rilascia un’ampia varietà di binari dannosi con cui infettare la macchina, come backdoor, banchieri, downloader, spyware e molti altri”.
Oltre a sottrarre le credenziali degli utenti, l’indirizzo, i dati delle carte di credito, le criptovalute e persino i cookie di sessione degli account Facebook e Amazon, ciò che rende NullMixer insidioso è la sua capacità di scaricare dozzine di trojan contemporaneamente, ampliando significativamente la scala delle infezioni.
Le catene di attacco in genere iniziano quando un utente tenta di scaricare software crackato da uno dei siti, il che porta a un archivio protetto da password che contiene un file eseguibile che, da parte sua, rilascia e avvia un secondo binario di installazione progettato per fornire una serie di file dannosi.
Questi siti Web dannosi sfruttano le tecniche di avvelenamento dell’ottimizzazione dei motori di ricerca (SEO) come il riempimento di parole chiave per presentarli altamente nei risultati dei motori di ricerca. Tattiche simili sono state adottate dagli attori dietro le campagne GootLoader e SolarMarket.
NullMixer, il mese scorso, è stato collegato alla distribuzione di un’estensione di Google Chrome chiamata FB Stealer, che è in grado di rubare le credenziali di Facebook e sostituire i motori di ricerca.
“Qualsiasi download di file da risorse inaffidabili è un vero gioco della roulette: non si sa mai quando si attiverà e quale minaccia si otterrà questa volta”, ha detto il ricercatore di Kaspersky Haim Zigel. Ricevendo NullMixer, gli utenti ricevono diverse minacce contemporaneamente.”