NullMixer: diversi malware, in un colpo solo

Oggi vi spieghiamo come il dropper NullMixer sia in grado di scaricare numerosi Trojan alla volta su un unico dispositivo.

Scaricare un software pirata è sempre un terno all’otto: alcuni hanno fortuna, altri meno. Infatti, un utente potrebbe finire per perdere molti più soldi di quanti ne avrebbe spesi per la licenza. Abbiamo già parlato a lungo di vari tipi di malware che si nascondono sotto le vesti di giochi pirata e si diffondono attraverso i torrent. Recentemente, i nostri ricercatori hanno pubblicato un nuovo studio sul dropper NullMixer, un’altra minaccia molto diffusa in cui gli utenti possono inbattersi scaricando software senza licenza.

Che cosa sono i Trojan dropper? NullMixer è un esempio

In parole povere, i Trojan dropper (o semplicemente “dropper”) sono programmi che distribuiscono software dannosi. Il loro scopo principale è quello di installare silenziosamente altri malware (in alcuni casi, una serie di malware) sul dispositivo dell’utente. Scopriamo come ci riescono utilizzando NullMixer come esempio.

Questo dropper viene distribuito attraverso siti che mettono a disposizione degli utenti software pirata e crack (tool per aggirare le protezioni dei software ufficiali). Gli sviluppatori del malware fanno un uso intelligente degli strumenti di ottimizzazione per i motori di ricerca (in inglese search engine optimization o SEO). Per query come “software craccato” o “keygens” (abbreviazione di key generator, ovvero generatore di chiavi), i siti dannosi in questione appaiono spesso tra i primi risultati di ricerca.

Quando si cerca di scaricare un software pirata da un sito di questo genere, l’utente viene reindirizzato più volte fino a finire su una determinata pagina web. Su questa pagina, l’utente troverà un link a un archivio protetto da password e le istruzioni per scaricarlo e decomprimerlo.

Archivio e istruzioni per scaricare un falso software pirata

Archivio e istruzioni per scaricare un falso software pirata

La buona notizia è che, per infettarsi, non basta semplicemente visitare il sito. Tutti i passaggi, dal click sul link, al download del malware e al suo avvio, devono essere completati dagli utenti stessi. Se la vittima sente puzza di bruciato e si ferma, non succederà nulla al computer. Chiaramente i distributori di Nullmixer creano e si affidano a un falso senso di sicurezza: molte persone pensano che se il sito si trova tra i primi risultati del motore di ricerca sono al sicuro e quindi cliccano con noncuranza e finiscono per installare un Trojan.

Quale malware è presente in NullMixer

NullMixer esegue una serie di malware, tutti insieme, e più della metà sono downloader dannosi. Questo significa che, una volta lanciati, installano un’altra cosa (o, più probabilmente, cose) sul sistema. Di conseguenza, invece del programma desiderato, si ottiene un’intera serie di malware.

Cos’altro c’è nel pacchetto oltre ai downloader? Un’intera serie di stealer, ovvero programmi che vanno a caccia di credenziali di accesso. Il più famoso è RedLine, che è apparso per la prima volta sui radar dei ricercatori nel 2020 e da allora è diventato uno dei “leader di mercato”. RedLine ruba password, dati di carte bancarie, chiavi di cryptowallet, cookie di sessione (che consentono a chiunque di accedere ai vostri account senza password) e messaggi condivisi su app di messaggistica.

Oltre ai downloader e agli stealer, le vittime di NullMixer si ritrovano con alcuni Trojan bancari, il più noto DanaBot. Questo banking Trojan non solo ruba informazioni dal dispositivo, ma può iniettare falsi moduli sui siti degli store online o sui social, in modo tale da spingere le vittime stesse a condividere i dati della propria carta di credito. Ma forse la cosa più importante è che DanaBot può fornire ai suoi developer l’accesso completo al dispositivo infetto, permettendo agli hacker di fare tutto ciò che vogliono.

Infine, il pacchetto dannoso di NullMixer include anche un vero e proprio spyware. Il trojan PseudoManuscrypt è in grado di rubare i dati dell’utente (anche quando vengono inviati tramite una VPN), di scattare screenshot e di registrare audio e video dello schermo. Come una vera spia, può anche occultare le sue tracce: per nascondere la sua attività, PseudoManuscrypt cancella i file di log.

Come evitare di cadere vittima dei cybercriminali

Come abbiamo detto all’inizio, scaricare software pirata è sempre una mossa rischiosa. Quindi, come sempre, vi consigliamo di installare solo programmi con licenza, scaricati da fonti ufficiali. Se, per qualche motivo, non siete in grado di acquistare una licenza a prezzo pieno, potete sempre cercare un’alternativa gratuita, usare una versione di prova per un po’ di tempo o aspettare qualche sconto. In questo post, ad esempio, vi spieghiamo come risparmiare sui giochi senza infrangere la legge o mettere a rischio i vostri risparmi o i vostri account.

Per essere sicuri che il vostro dispositivo sia davvero protetto, è bene utilizzare una soluzione di sicurezza affidabile che possa tenere a bada i malware. I nostri prodotti sono in grado di catturare NullMixer e tutti gli “amici” che lo accompagnano.

Consigli