Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται συχνά την τάση πολλών χρηστών να στρέφονται σε software cracks, game cracks και άλλο πειρατικό λογισμικό. Σύμφωνα με την Kaspersky, κάποιοι τέτοιοι εγκληματίες βρίσκονται πίσω από ένα νέο malware dropper με το όνομα “NullMixer“, το οποίο είναι σε θέση να μολύνει συσκευές Windows με δώδεκα διαφορετικές οικογένειες κακόβουλου λογισμικού ταυτόχρονα. Η μόλυνση ξεκινά από πλαστά software cracks που προωθούνται σε κακόβουλους ιστότοπους που εμφανίζονται στα αποτελέσματα αναζήτησης της Google.
Το NullMixer λειτουργεί σαν infection funnel, χρησιμοποιώντας ένα μόνο εκτελέσιμο Windows για την εκκίνηση δώδεκα διαφορετικών οικογενειών κακόβουλου λογισμικού. Οι συσκευές κινδυνεύουν από trojans που κλέβουν κωδικούς πρόσβασης, backdoors, spyware, bankers, ψεύτικα Windows system cleaners, clipboard hijackers, cryptocurrency miners και άλλα malware loaders.
Δείτε επίσης: Adware: Βρέθηκαν ad-fraud apps σε Play Store και App Store
Όπως είπαμε και παραπάνω, για να γίνει η αρχική μόλυνση από το NullMixer malware dropper, οι διανομείς του κακόβουλου λογισμικού χρησιμοποιούν “black hat SEO” για να εμφανίσουν στα αποτελέσματα αναζήτησης της Google, sites που προωθούν ψεύτικα game cracks και πειρατικό λογισμικό. Οι εγκληματίες φροντίζουν ώστε τα κακόβουλα sites να εμφανίζονται ψηλά στα αποτελέσματα αναζήτησης της Google.
Το BleepingComputer δοκίμασε μια αναζήτηση στην Google για “software crack” και πολλοί από τους ιστότοπους που λέγεται ότι διανέμουν αυτό το κακόβουλο λογισμικό, καταγράφηκαν στα αποτελέσματα αναζήτησης στη δεύτερη, τρίτη και τέταρτη θέση.
Οι ανυποψίαστοι χρήστες που επιχειρούν να κάνουν λήψη λογισμικού από αυτά τα κακόβουλα sites, ανακατευθύνονται σε άλλους κακόβουλους ιστότοπους που εγκαθιστούν ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης και περιέχει ένα αντίγραφο του NullMixer malware dropper.
Επειδή τα software cracks και τα cheats συνήθως τροποποιούν game files, οι χρήστες που τα κατεβάζουν αγνοούν τις προειδοποιήσεις AV σχετικά με δυνητικά επικίνδυνα εκτελέσιμα, παρακάμπτοντας τους ελέγχους ασφαλείας.
Δείτε επίσης: Το νέο info-stealer malware Erbium διανέμεται μέσω game cracks
Οι πρώτοι που ανακάλυψαν αυτό το dropper ήταν οι ερευνητές της Kaspersky. Οι ερευνητές αναφέρουν ότι το NullMixer έχει ήδη επιχειρήσει μολύνσεις σε 47.778 πελάτες της σε Ηνωμένες Πολιτείες, Γερμανία, Γαλλία, Ιταλία, Ινδία, Ρωσία, Βραζιλία, Τουρκία και Αίγυπτο.
Μόλυνση με 12 διαφορετικές οικογένειες malware
Η λήψη του NullMixer γίνεται συνήθως ως αρχείο και όταν ανοίξει, δημιουργείται ένα νέο αρχείο.
Αυτό το νέο αρχείο είναι υπεύθυνο για τη λήψη δεκάδων οικογενειών κακόβουλου λογισμικού και, αφού γίνει αυτό, εκκινεί ένα άλλο εκτελέσιμο αρχείο.
Αυτό το τρίτο αρχείο επιτρέπει σε όλα τα malware να ξεκινήσουν την κακόβουλη δραστηριότητά τους στο παραβιασμένο μηχάνημα χρησιμοποιώντας μια κωδικοποιημένη λίστα με τα ονόματά τους και το εργαλείο cmd. exe των Windows.
Δείτε επίσης: Οι χάκερ πειραματίζονται με επιθέσεις «data destruction»
Ορισμένες οικογένειες malware που εγκαθίστανται στα Windows συστήματα από το NullMixer, περιλαμβάνουν τα Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt και άλλα.
Δεν είναι σύνηθες να βλέπουμε ταυτόχρονη μόλυνση από τόσο πολλά malware. Οι χειριστές του NullMixer μπορεί να θέλουν να βεβαιωθούν ότι θα κάνουν μεγάλη ζημιά στο θύμα ή μπορεί να προσπαθούν να προωθήσουν το εργαλείο τους ως πολύ αποτελεσματικό dropper.
Ωστόσο, η μόλυνση με τόσο πολλά malware ταυτόχρονα σίγουρα θα αφήνει πίσω της πολλά σημάδια, ώστε να συνειδητοποιήσει το θύμα ότι κάτι δεν πάει καλά (π.χ. έντονη δραστηριότητα σκληρού δίσκου, αυξημένη χρήση της CPU και της μνήμης, ασυνήθιστο άνοιγμα παραθύρων χωρίς λόγο ή ένα αξιοσημείωτο πρόβλημα απόδοσης).
Επομένως, μια τέτοια μόλυνση δεν μπορεί να μείνει κρυφή για πολύ.
Αν θέλετε να προστατευτείτε έναντι του NullMixer malware dropper και άλλων παρόμοιων απειλών, αποφύγετε τη λήψη πειρατικών λογισμικών και γενικά τη λήψη αρχείων από ανεπίσημες διαδικτυακές πηγές.
Πηγή: www.bleepingcomputer.com