26/09/2022
Spyware NullMixer s'attaque aux données de paiement, aux crypto-monnaies et aux comptes d'utilisateurs des réseaux sociaux
Les experts de Kaspersky ont identifié une nouvelle campagne cybercriminelle distribuée par le logiciel espion NullMixer. Ce logiciel malveillant peut voler les identifiants de connexion, les adresses, les détails de la carte de crédit, les crypto-monnaies et même les comptes Facebook et Amazon de l'utilisateur en collectant toutes les informations saisies au clavier.
Plus de 47 500 utilisateurs ont été infectés par NullMixer en essayant de télécharger des logiciels piratés à partir de sites tiers. En Allemagne, 1.100 usagers ont été touchés au premier semestre, 143 cas en Autriche et 117 en Suisse. NullMixer est activement distribué par des cybercriminels utilisant des sites Web proposant des cracks, des keygens et des activateurs pour le téléchargement de logiciels illégaux. Ces sites non fiables constituent toujours une menace car ils infectent souvent les appareils des victimes avec des logiciels malveillants au lieu de télécharger un logiciel. Dans la plupart des cas, les utilisateurs reçoivent des logiciels publicitaires ou d'autres logiciels indésirables ; Cependant, NullMixer est beaucoup plus dangereux car le malware peut télécharger un grand nombre de chevaux de Troie. Dans le pire des cas, cela conduit à une infection à grande échelle du réseau informatique.
Tactiques de compromis subtiles et multifonctionnelles
La voie d'infection typique consiste à tenter de télécharger un logiciel piraté à partir de l'un de ces sites Web. L'utilisateur est redirigé à plusieurs reprises vers une page contenant un programme archivé protégé par mot de passe et des instructions détaillées. Tout dans ce processus semble complètement ordinaire, comme si l'utilisateur était vraiment en train de télécharger le logiciel qu'il souhaite. Cependant, suivre les instructions conduit maintenant à l'activation de NullMixer qui supprime plusieurs fichiers malveillants sur l'ordinateur infecté, notamment des téléchargeurs, des logiciels espions, des portes dérobées, des logiciels malveillants bancaires ou d'autres types de menaces. Les familles de menaces qui se propagent via NullMixer incluent le célèbre voleur RedLine, qui cible les données des cartes de crédit et des portefeuilles de crypto-monnaie sur les machines infectées, et Disbuk, également connu sous le nom de Socelar.
En volant les cookies de Facebook et d'Amazon avec Disbuk, les cybercriminels accèdent aux comptes de leurs victimes, obtiennent leurs identifiants de connexion, leurs adresses et même leurs informations de paiement. Pour attirer les victimes potentielles, les cybercriminels utilisent des outils de référencement professionnels pour apparaître dans les premiers résultats des moteurs de recherche. Lors de la recherche de "cracks" et de "keygens" sur Internet, ces sites Web sont alors faciles à trouver et le plus grand nombre d'utilisateurs possible est atteint. Depuis le début de cette année, les les solutions de sécurité Kaspersky ont bloqué plus de 47 500 tentatives d'infection dans le monde. Certains des pays les plus durement touchés sont le Brésil, l'Inde, la Russie, l'Italie, l'Allemagne, la France, l'Égypte, la Turquie et les États-Unis. Avec 1 100 utilisateurs attaqués, l'Allemagne figure dans le top 10 des pays les plus attaqués ; L'Autriche compte 143 cas, la Suisse 117. "Chaque téléchargement provenant de sources non fiables est un jeu de roulette", souligne Haim Zigel, chercheur en sécurité chez Kaspersky. "Vous ne savez jamais où une menace se cache et quand elle attaquera votre propre infrastructure informatique.", veuillez donc être conseillé d'utiliser la solution anti-malware fiable tout en surfant .
Avec NullMixer, les utilisateurs sont confrontés à plusieurs menaces à la fois. Toutes les informations qu'ils saisissent sur leur clavier sont disponibles pour les attaquants : des messages qu'ils écrivent à des amis sur Facebook, à l'adresse qu'ils utilisent pour commander sur Amazon, aux identifiants et mots de passe de leur appareil, ou aux comptes de crypto-monnaie et aux détails de la carte de crédit. Cela laisse l'ensemble de l'appareil avec toutes les informations sensibles entre les mains des cybercriminels. Par conséquent, seuls les produits sous licence doivent être téléchargés et des solutions de sécurité robustes supplémentaires doivent être utilisées. »