Onderzoekers van Kaspersky hebben een nieuwe campagne ontdekt die malware NullMixer verspreidt die informatie zoals adres- en creditcardgegevens, maar ook cryptocurrencies en zelfs Facebook- en Amazon-accounts van gebruikers steelt. Bij een poging om gekraakte software te downloaden van sites van derden, werden meer dan 47.500 gebruikers aangevallen met NullMixer, dat in staat is om gebruikers te bespioneren en alle informatie vast te leggen die ze op het toetsenbord invoeren. In Nederland waren 186 gebruikers het slachtoffer van de malware.
NullMixer wordt actief verspreid door cybercriminelen via websites die cracks, keygens en activators aanbieden voor het illegaal downloaden van software. Dergelijke onbetrouwbare pagina's vormen altijd een bedreiging voor gebruikers, omdat ze in plaats van de juiste software aan te bieden, de apparaten van slachtoffers infecteren met malware. In de meeste gevallen ontvangen gebruikers adware of andere ongewenste software, maar NullMixer is veel gevaarlijker omdat het een groot aantal Trojaanse paarden tegelijk kan downloaden. Dit kan leiden tot een grootschalige infectie van een computernetwerk.
Een typische infectie vindt plaats bij een poging om gekraakte software te downloaden van één van deze sites. De gebruiker wordt herhaaldelijk omgeleid naar een pagina met een wachtwoord beveiligd gearchiveerd programma en gedetailleerde instructies. Alles ziet er normaal uit alsof de gebruiker echt op het punt staat de benodigde software te downloaden. Maar als de instructies worden gevolgd, start het slachtoffer in werkelijkheid NullMixer, dat meerdere malwarebestanden op het geïnfecteerde apparaat plaatst, waaronder downloaders, spyware, backdoors, bankers en andere bedreigingen.
Als de gebruiker de gewenste software probeert te installeren, ontvangt hij ook de gedetailleerde downloadinstructies.
Onder de dreigingsfamilies die via NullMixer worden verspreid, bevindt zich de beruchte RedLine stealer die jaagt op creditcard- en cryptocurrency-portefeuillegegevens van geïnfecteerde apparaten, evenals Disbuk, ook bekend als Socelar. Door met Disbuk cookies van Facebook en Amazon te stelen, kunnen cybercriminelen toegang krijgen tot de accounts van het slachtoffer en hun adres en zelfs betalingsgegevens bemachtigen.
Merkwaardig genoeg gebruikten de cybercriminelen specifiek professionele SEO-tools om in de eerste resultaten van zoekmachines te komen, zodat ze makkelijk gevonden worden bij het zoeken naar "cracks" en "keygens" op internet, waardoor ze zich op zoveel mogelijk gebruikers konden richten.
Top Google resultaten voor "crack software" bevatten kwaadaardige websites die NullMixer leveren
Sinds het begin van dit jaar hebben de security-oplossingen van Kaspersky pogingen om meer dan 47.500 gebruikers wereldwijd te infecteren geblokkeerd. De cybercriminelen richtte zich vooral op Brazilië, India, Rusland, Italië, Duitsland, Frankrijk, Egypte, Turkije en de Verenigde Staten.
De geografie van de aanvallen van NullMixer
"Elke download van een onbetrouwbare bron is een echt spelletje roulette: je weet nooit wanneer hij afgaat, en welke bedreiging je deze keer krijgt. Bij ontvangst van NullMixer krijgen gebruikers verschillende bedreigingen tegelijk. Alle informatie die je op je toetsenbord typt, is beschikbaar voor de aanvallers: van berichten die je naar je vrienden op Facebook schrijft, het adres waarmee je op Amazon bestelt, tot logins en wachtwoorden van je apparaat of cryptocurrency-accounts, en creditcardgegevens. Daardoor is het hele apparaat met alle informatie nu in handen van cybercriminelen. Houd dit in gedachten wanneer je besluit om iets te downloaden van een onbekende site, want deze dreiging kan altijd worden voorkomen door alleen gelicentieerde producten en robuuste security-oplossingen te gebruiken", zegt Haim Zigel, security researcher bij Kaspersky.
Lees meer over NullMixer in het volledige rapport op Securelist.