Tội phạm mạng đang tiếp tục săn mồi những người dùng tìm kiếm phần mềm bị bẻ khóa bằng cách hướng họ đến các trang web lừa đảo lưu trữ các trình cài đặt được vũ khí hóa triển khai phần mềm độc hại có tên NullMixer trên các hệ thống bị xâm nhập.
“Khi người dùng trích xuất và thực thi NullMixer, nó sẽ làm rơi một số tệp phần mềm độc hại vào máy bị xâm nhập”, công ty an ninh mạng Kaspersky cho biết trong một báo cáo hôm thứ Hai. “Nó loại bỏ nhiều loại mã nhị phân độc hại để lây nhiễm vào máy, chẳng hạn như cửa hậu, nhân viên ngân hàng, trình tải xuống, phần mềm gián điệp và nhiều thứ khác.”
Bên cạnh việc bòn rút thông tin đăng nhập, địa chỉ, dữ liệu thẻ tín dụng, tiền điện tử và thậm chí cả cookie phiên tài khoản Facebook và Amazon, điều khiến NullMixer trở nên thâm hiểm là khả năng tải xuống hàng chục trojan cùng một lúc, mở rộng đáng kể quy mô lây nhiễm.
Chuỗi tấn công thường bắt đầu khi người dùng cố gắng tải xuống phần mềm bị bẻ khóa từ một trong các trang web, dẫn đến một kho lưu trữ được bảo vệ bằng mật khẩu có chứa một tệp thực thi, về phần nó, giảm và khởi chạy tệp nhị phân thiết lập thứ hai được thiết kế để phân phối một mảng các tệp độc hại.
Các trang web độc hại này tận dụng các kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO) chẳng hạn như nhồi nhét từ khóa để làm nổi bật chúng trong kết quả của công cụ tìm kiếm. Các chiến thuật tương tự đã được các diễn viên đứng sau các chiến dịch GootLoader và SolarMarker áp dụng.
NullMixer, vào tháng trước, có liên quan đến việc phân phối một tiện ích mở rộng Google Chrome giả mạo có tên FB Stealer, có khả năng đánh cắp thông tin đăng nhập Facebook và thay thế công cụ tìm kiếm.
Một số họ phần mềm độc hại nổi bật khác được phân phối bởi dropper bao gồm DanaBot và một loạt phần mềm độc hại ăn cắp thông tin như ColdStealer, PseudoManuscrypt, Raccoon Stealer, Redline Stealer và Vidar.
Cũng được triển khai bằng NullMixer là các trình tải xuống trojan như FormatLoader, GCleaner, LegionLoader (hay còn gọi là Satacom), LgoogLoader, PrivateLoader, SgnitLoader, ShortLoader và SmokeLoader, cũng như trình đánh cắp ví tiền điện tử C-Joker.
Kaspersky cho biết họ đã chặn các nỗ lực lây nhiễm cho hơn 47.778 nạn nhân trên toàn thế giới, với phần lớn người dùng ở Brazil, Ấn Độ, Nga, Ý, Đức, Pháp, Ai Cập, Thổ Nhĩ Kỳ và Mỹ. một nhóm đã biết.
Các phát hiện mới nhất là một dấu hiệu khác cho thấy phần mềm độc hại và các ứng dụng không mong muốn đang ngày càng được lan truyền thông qua phần mềm vi phạm bản quyền. Bạn cũng nên kiểm tra các tài khoản trực tuyến thường xuyên để tìm các giao dịch không xác định.
Nhà nghiên cứu Haim Zigel của Kaspersky cho biết: “Bất kỳ tải xuống tệp nào từ các nguồn không đáng tin cậy đều là một trò chơi roulette thực sự: bạn không bao giờ biết khi nào nó sẽ kích hoạt, và mối đe dọa nào bạn sẽ nhận được lần này”. “Nhận được NullMixer, người dùng nhận được nhiều mối đe dọa cùng một lúc.”
.
