Специалисты «Лаборатории Касперского» нашли новый дроппер NullMixer, который заражает устройства под управлением Windows десятками различных вредоносных программ, включая SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie и ColdStealer. Малварь маскируется преимущественно под фейковые кряки, генераторы ключей и программы-активаторы для различного ПО, а сайты, через которые распространяется NullMixer, активно продвигаются в поисковой выдаче Google.
NullMixer использует всего один исполняемый файл Windows для запуска десятков различных семейств малвари, что в итоге приводит более чем к двум десяткам заражений на атакованом устройстве. Вредоносное ПО, которое загружает дроппер, ворует логины, пароли, данные банковских карт и доступ к учетным записям в некоторых социальных сетях и интернет-магазинах, а также подменяет адреса криптокошельков и также может перехватывать нажатия клавиш.
Заражение NullMixer происходит при попытке скачать взломанный софт с сайта злоумышленников. Пользователя сразу перенаправляют на страницу с архивом, защищенным паролем, и подробными инструкциями.
Если жертва следует этим инструкциям, то на ее устройство проникает NullMixer, а за ним множество других вредоносных файлов. В их числе другие загрузчики, шпионское ПО, бэкдоры, банкеры, а также известный стилер RedLine, который способен похитить данные от учетной записи в Telegram и ряде VPN-приложений, токены Discord, криптокошельки, сохраненные пароли и cookie из браузеров.
Исследователи отмечают, что NullMixer распространяется с помощью профессиональных SEO-инструментов. Они позволяют выводить вредоносные сайты на первые строки в поисковиках. Такие ресурсы могут показываться на первых страницах, если набирать ключевые слова «cracks» и «keygens».
По данным компании, сначала года были заблокировали попытки заражения NullMixer 47 778 жертв по всему миру. Большинство пострадавших находились в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.