Cyberkriminelle versuchen weiterhin, Nutzer auf der Suche nach geknackter Software auf betrügerische Websites zu leiten, die waffenfähige Installationsprogramme bereitstellen, die Malware namens NullMixer auf kompromittierten Systemen installieren.
„Wenn ein Nutzer NullMixer extrahiert und ausführt, legt er eine Reihe von Malware-Dateien auf dem kompromittierten Rechner ab“, so das Cybersecurity-Unternehmen Kaspersky in einem Bericht vom Montag. „Er legt eine Vielzahl bösartiger Binärdateien ab, mit denen er den Rechner infizieren kann, z. B. Backdoors, Banker, Downloader, Spyware und viele andere.
Der NullMixer erbeutet nicht nur Zugangsdaten, Adressen, Kreditkartendaten, Kryptowährungen und sogar Sitzungscookies von Facebook- und Amazon-Konten, sondern ist auch in der Lage, Dutzende von Trojanern auf einmal herunterzuladen, was das Ausmaß der Infektionen erheblich vergrößert.
Die Angriffskette beginnt in der Regel, wenn ein Nutzer versucht, geknackte Software von einer der Websites herunterzuladen, was zu einem passwortgeschützten Archiv führt, das eine ausführbare Datei enthält, die ihrerseits eine zweite Setup-Binärdatei herunterlädt und startet, die eine Reihe bösartiger Dateien enthält.
Diese bösartigen Websites nutzen Techniken zur Suchmaschinenoptimierung (SEO) wie Keyword Stuffing, um in den Suchmaschinenergebnissen weit oben zu erscheinen. Ähnliche Taktiken wurden von den Akteuren hinter den GootLoader- und SolarMarker-Kampagnen angewandt.
NullMixer wurde letzten Monat mit der Verbreitung einer bösartigen Google Chrome-Erweiterung namens FB Stealer in Verbindung gebracht, die Facebook-Anmeldedaten stehlen und Suchmaschinen ersetzen kann.
Zu den anderen bekannten Malware-Familien, die von dem Dropper verbreitet werden, gehören DanaBot und eine Reihe von Malware, die Informationen stiehlt, wie ColdStealer, PseudoManuscrypt, Raccoon Stealer, Redline Stealer und Vidar.
Außerdem werden über NullMixer Trojaner wie FormatLoader, GCleaner, LegionLoader (auch bekannt als Satacom), LgoogLoader, PrivateLoader, SgnitLoader, ShortLoader und SmokeLoader sowie der C-Joker Cryptocurrency Wallet Stealer eingesetzt.
Kaspersky hat nach eigenen Angaben Versuche blockiert, mehr als 47.778 Opfer weltweit zu infizieren, wobei sich die meisten Nutzer in Brasilien, Indien, Russland, Italien, Deutschland, Frankreich, Ägypten, der Türkei und den USA befanden. Der Bedrohungsakteur, der NullMixer betreibt, wird keiner bekannten Gruppe zugeordnet.
Die neuesten Erkenntnisse sind ein weiteres Indiz dafür, dass Malware und unerwünschte Anwendungen zunehmend über raubkopierte Software verbreitet werden. Es wird außerdem empfohlen, Online-Konten regelmäßig auf unbekannte Transaktionen zu überprüfen.
„Jeder Download von Dateien aus nicht vertrauenswürdigen Quellen ist ein echtes Roulettespiel: Du weißt nie, wann es losgeht und welche Bedrohung du dieses Mal bekommst“, sagt Kaspersky-Forscher Haim Zigel. „Wenn man NullMixer erhält, bekommt man gleich mehrere Bedrohungen auf einmal.“