NullMixer: el ladrón de cuentas de Facebook y Amazon entre otros

 Se trata de una campaña activa, presente en todo el mundo, Centroamérica y el Caribe entre el TOP 15 de los países más afectados de América Latina.

Los investigadores de Kaspersky han descubierto una nueva campaña en la que se propaga el NullMixer, un malware que roba las credenciales, dirección, datos de tarjetas de crédito, criptomonedas e incluso, las cuentas de Facebook y Amazon de los usuarios. A nivel mundial, más de 47,500 personas fueron atacadas con este software contaminado al intentar descargarlo de sitios de terceros. NullMixer puede espiar a los usuarios y capturar cualquier información que ingresen en el teclado. En América Latina, el Top5 de países más afectados está integrado por Brasil, México, Colombia, Perú y Ecuador.

Los ciberdelincuentes distribuyen activamente este malware a través de sitios web que ofrecen crack, keygen y activadores para bajar software ilegalmente. Estas páginas poco confiables siempre representan una amenaza para los usuarios, ya que, en lugar de proporcionar el software adecuado, infectan con malware los dispositivos de las víctimas. En la mayoría de los casos, los usuarios reciben adware u otro software no deseado, pero NullMixer es mucho más peligroso, ya que puede descargar una gran cantidad de troyanos a la vez, lo que puede provocar una infección a gran escala de cualquier red informática.

Una infección típica ocurre cuando se intenta bajar software contaminado de uno de estos sitios. El usuario es redirigido repetidamente a una página que contiene un programa archivado protegido por una contraseña e instrucciones detalladas. Todo parece normal, como si el usuario realmente estuviera a punto de bajar el software que necesita. Sin embargo, al seguir las instrucciones, la víctima inicia el NullMixer, que coloca múltiples archivos de malware en el equipo infectado, incluidos descargadores, spyware, puertas traseras, banqueros y otras amenazas.

Entre las familias de amenazas que se propagan a través de NullMixer se encuentran RedLine, que busca datos de tarjetas de crédito y billeteras de criptomonedas de equipos infectados, así como el Disbuk, también conocido como Socelar. Con este último, al robar las cookies de Facebook y Amazon, los atacantes pueden obtener acceso a las cuentas de la víctima, obteniendo así sus credenciales, dirección e incluso sus detalles de pago.

Curiosamente, los ciberdelincuentes utilizaban específicamente herramientas profesionales de SEO para mantenerse en los primeros resultados de los motores de búsqueda, de modo que pudieran ser encontrados fácilmente al buscar “cracks” y “keygens” en Internet y dirigirse a la mayor cantidad de usuarios posible.

Desde principios de este año, las soluciones de seguridad de Kaspersky han bloqueado los intentos de infectar a más de 47,500 usuarios en todo el mundo. A nivel global, algunos de los países más atacados son Brasil, India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y Estados Unidos.

En América Latina, el Top5 de países más afectados está integrado por Brasil, México, Colombia, Perú y Ecuador. A estos le siguen Argentina, Bolivia, Chile, Venezuela, Cuba y Paraguay. Los países centroamericanos de Guatemala, Costa Rica y Panamá, así como el país caribeño de República Dominicana, completan el Top15 de las naciones de la región más afectadas.

“Descargar archivos desde recursos que no son de confianza es verdaderamente jugar a la ruleta rusa: nunca se sabe cuándo va a disparar y cuál será la próxima amenaza. Al recibir el NullMixer, los usuarios reciben varias amenazas a la vez. Cualquier información que se escriba en el teclado estará disponible para los atacantes: desde los mensajes que usted escriba a sus amigos en Facebook, la dirección que usa para hacer pedidos en Amazon, hasta los inicios de sesión y contraseñas de su dispositivo o cuentas de criptomonedas y datos de tarjetas de crédito. Como resultado, todo el dispositivo con toda su información ahora estará en manos de los ciberdelincuentes. Tenga esto en cuenta cuando decida bajar algo de un sitio desconocido, porque esta amenaza siempre se puede evitar utilizando solo productos con licencia y soluciones de seguridad sólidas”, comenta Haim Zigel, investigador de seguridad de Kaspersky.