{"id":27253,"date":"2022-10-11T10:17:05","date_gmt":"2022-10-11T08:17:05","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27253"},"modified":"2022-10-11T10:17:05","modified_gmt":"2022-10-11T08:17:05","slug":"nullmixer-trojan-dropper","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/nullmixer-trojan-dropper\/27253\/","title":{"rendered":"NullMixer: diversi malware, in un colpo solo"},"content":{"rendered":"

Scaricare un software pirata \u00e8 sempre un terno all\u2019otto: alcuni hanno fortuna, altri meno. Infatti, un utente potrebbe finire per perdere molti pi\u00f9 soldi di quanti ne avrebbe spesi per la licenza. Abbiamo gi\u00e0 parlato a lungo di vari tipi di malware che si nascondono sotto le vesti di giochi pirata<\/a> e si diffondono attraverso i torrent<\/a>. Recentemente, i nostri ricercatori hanno pubblicato<\/a> un nuovo studio sul dropper NullMixer, un\u2019altra minaccia molto diffusa in cui gli utenti possono inbattersi scaricando software senza licenza.<\/p>\n

Che cosa sono i Trojan dropper? NullMixer \u00e8 un esempio<\/h2>\n

In parole povere, i Trojan dropper<\/a> (o semplicemente \u201cdropper\u201d) sono programmi che distribuiscono software dannosi. Il loro scopo principale \u00e8 quello di installare silenziosamente altri malware (in alcuni casi, una serie di malware) sul dispositivo dell\u2019utente. Scopriamo come ci riescono utilizzando NullMixer come esempio.<\/p>\n

Questo dropper viene distribuito attraverso siti che mettono a disposizione degli utenti software pirata e crack<\/a> (tool per aggirare le protezioni dei software ufficiali). Gli sviluppatori del malware fanno un uso intelligente degli strumenti di ottimizzazione per i motori di ricerca (in inglese search engine optimization<\/em><\/a> o SEO). Per query come \u201csoftware craccato\u201d o \u201ckeygens\u201d (abbreviazione di key generator<\/a>, ovvero generatore di chiavi), i siti dannosi in questione appaiono spesso tra i primi risultati di ricerca.<\/p>\n

Quando si cerca di scaricare un software pirata da un sito di questo genere, l\u2019utente viene reindirizzato pi\u00f9 volte fino a finire su una determinata pagina web. Su questa pagina, l\u2019utente trover\u00e0 un link a un archivio protetto da password e le istruzioni per scaricarlo e decomprimerlo.<\/p>\n

\"Archivio

Archivio e istruzioni per scaricare un falso software pirata<\/p><\/div>\n

La buona notizia \u00e8 che, per infettarsi, non basta semplicemente visitare il sito. Tutti i passaggi, dal click sul link, al download del malware e al suo avvio, devono essere completati dagli utenti stessi. Se la vittima sente puzza di bruciato e si ferma, non succeder\u00e0 nulla al computer. Chiaramente i distributori di Nullmixer creano e si affidano a un falso senso di sicurezza: molte persone pensano che se il sito si trova tra i primi risultati del motore di ricerca sono al sicuro e quindi cliccano con noncuranza e finiscono per installare un Trojan.<\/p>\n

Quale malware \u00e8 presente in NullMixer<\/h2>\n

NullMixer esegue una serie di malware, tutti insieme, e pi\u00f9 della met\u00e0 sono downloader<\/a> dannosi. Questo significa che, una volta lanciati, installano un\u2019altra cosa (o, pi\u00f9 probabilmente, cose<\/em>) sul sistema. Di conseguenza, invece del programma desiderato, si ottiene un\u2019intera serie di malware.<\/p>\n

Cos\u2019altro c\u2019\u00e8 nel pacchetto oltre ai downloader? Un\u2019intera serie di stealer<\/a>, ovvero programmi che vanno a caccia di credenziali di accesso. Il pi\u00f9 famoso \u00e8 RedLine<\/a>, che \u00e8 apparso per la prima volta sui radar dei ricercatori nel 2020 e da allora \u00e8 diventato uno dei \u201cleader di mercato\u201d. RedLine ruba password, dati di carte bancarie, chiavi di cryptowallet, cookie di sessione (che consentono a chiunque di accedere ai vostri account senza password) e messaggi condivisi su app di messaggistica.<\/p>\n

Oltre ai downloader e agli stealer, le vittime di NullMixer si ritrovano con alcuni Trojan bancari<\/a>, il pi\u00f9 noto DanaBot<\/a>. Questo banking Trojan non solo ruba informazioni dal dispositivo, ma pu\u00f2 iniettare falsi moduli sui siti degli store online o sui social, in modo tale da spingere le vittime stesse a condividere i dati della propria carta di credito. Ma forse la cosa pi\u00f9 importante \u00e8 che DanaBot pu\u00f2 fornire ai suoi developer l\u2019accesso completo al dispositivo infetto, permettendo agli hacker di fare tutto ci\u00f2 che vogliono.<\/p>\n

Infine, il pacchetto dannoso di NullMixer include anche un vero e proprio spyware. Il trojan PseudoManuscrypt<\/a> \u00e8 in grado di rubare i dati dell\u2019utente (anche quando vengono inviati tramite una VPN), di scattare screenshot e di registrare audio e video dello schermo. Come una vera spia, pu\u00f2 anche occultare le sue tracce: per nascondere la sua attivit\u00e0, PseudoManuscrypt cancella i file di log<\/a>.<\/p>\n

Come evitare di cadere vittima dei cybercriminali<\/h2>\n

Come abbiamo detto all\u2019inizio, scaricare software pirata \u00e8 sempre una mossa rischiosa. Quindi, come sempre, vi consigliamo di installare solo programmi con licenza, scaricati da fonti ufficiali. Se, per qualche motivo, non siete in grado di acquistare una licenza a prezzo pieno, potete sempre cercare un\u2019alternativa gratuita, usare una versione di prova per un po\u2019 di tempo o aspettare qualche sconto. In questo post<\/a>, ad esempio, vi spieghiamo come risparmiare sui giochi senza infrangere la legge o mettere a rischio i vostri risparmi o i vostri account.<\/p>\n

Per essere sicuri che il vostro dispositivo sia davvero protetto, \u00e8 bene utilizzare una soluzione di sicurezza affidabile<\/a>\u00a0che possa tenere a bada i malware. I nostri prodotti sono in grado di catturare NullMixer e tutti gli \u201camici\u201d che lo accompagnano.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Oggi vi spieghiamo come il dropper NullMixer sia in grado di scaricare numerosi Trojan alla volta su un unico dispositivo.<\/p>\n","protected":false},"author":2477,"featured_media":27255,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3515,3663,3664,441,23],"class_list":{"0":"post-27253","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-dropper","9":"tag-nullmixer","10":"tag-pirati-informatici","11":"tag-trojan","12":"tag-windows"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/nullmixer-trojan-dropper\/27253\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nullmixer-trojan-dropper\/24741\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nullmixer-trojan-dropper\/20212\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nullmixer-trojan-dropper\/27215\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nullmixer-trojan-dropper\/25069\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nullmixer-trojan-dropper\/25372\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nullmixer-trojan-dropper\/27911\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nullmixer-trojan-dropper\/34055\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/nullmixer-trojan-dropper\/11093\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nullmixer-trojan-dropper\/45723\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nullmixer-trojan-dropper\/19559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nullmixer-trojan-dropper\/20128\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nullmixer-trojan-dropper\/29356\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/nullmixer-trojan-dropper\/32603\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/nullmixer-trojan-dropper\/28523\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nullmixer-trojan-dropper\/25492\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nullmixer-trojan-dropper\/31116\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nullmixer-trojan-dropper\/30806\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/trojan\/","name":"trojan"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27253","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27253"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27253\/revisions"}],"predecessor-version":[{"id":27257,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27253\/revisions\/27257"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27255"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27253"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27253"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27253"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}