Los investigadores de Kaspersky han
descubierto una nueva campaña en la que se propaga el NullMixer, un malware que
roba las credenciales, dirección, datos de tarjetas de crédito, criptomonedas e
incluso, las cuentas de Facebook y Amazon de los usuarios. A nivel mundial, más
de 47,500 personas fueron atacadas con este software contaminado al intentar
descargarlo de sitios de terceros. NullMixer puede espiar a los usuarios y
capturar cualquier información que ingresen en el teclado. En América Latina,
el Top5 de países más afectados está integrado por Brasil, México, Colombia,
Perú y Ecuador.
Los ciberdelincuentes distribuyen activamente
este malware a través de sitios web que ofrecen crack, keygen y activadores
para bajar software ilegalmente. Estas páginas poco confiables siempre
representan una amenaza para los usuarios, ya que, en lugar de proporcionar el
software adecuado, infectan con malware los dispositivos de las víctimas. En la
mayoría de los casos, los usuarios reciben adware u otro software no deseado,
pero NullMixer es mucho más peligroso, ya que puede descargar una gran cantidad
de troyanos a la vez, lo que puede provocar una infección a gran escala de
cualquier red informática.
Una infección típica ocurre cuando se intenta
bajar software contaminado de uno de estos sitios. El usuario es redirigido
repetidamente a una página que contiene un programa archivado protegido por una
contraseña e instrucciones detalladas. Todo parece normal, como si el usuario
realmente estuviera a punto de bajar el software que necesita. Sin embargo, al
seguir las instrucciones, la víctima inicia el NullMixer, que coloca múltiples
archivos de malware en el equipo infectado, incluidos descargadores, spyware,
puertas traseras, banqueros y otras amenazas.
Entre las familias de amenazas que se
propagan a través de NullMixer se encuentran RedLine, que busca datos de
tarjetas de crédito y billeteras de criptomonedas de equipos infectados, así
como el Disbuk, también conocido como Socelar. Con este último, al robar las cookies
de Facebook y Amazon, los atacantes pueden obtener acceso a las cuentas de la
víctima, obteniendo así sus credenciales, dirección e incluso sus detalles de
pago.
Curiosamente, los ciberdelincuentes
utilizaban específicamente herramientas profesionales de SEO para mantenerse en
los primeros resultados de los motores de búsqueda, de modo que pudieran ser
encontrados fácilmente al buscar “cracks” y “keygens” en Internet y dirigirse a
la mayor cantidad de usuarios posible.
Desde principios de este año, las soluciones
de seguridad de Kaspersky han bloqueado los intentos de infectar a más de
47,500 usuarios en todo el mundo. A nivel global, algunos de los países más
atacados son Brasil, India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y
Estados Unidos.
En América Latina, el Top5 de países más
afectados está integrado por Brasil, México, Colombia, Perú y Ecuador. A estos
le siguen Argentina, Bolivia, Chile, Venezuela, Cuba y Paraguay. Los países
centroamericanos de Guatemala, Costa Rica y Panamá, así como el país caribeño
de República Dominicana, completan el Top15 de las naciones de la región más
afectadas.
“Descargar archivos desde recursos que no son
de confianza es verdaderamente jugar a la ruleta rusa: nunca se sabe cuándo va
a disparar y cuál será la próxima amenaza. Al recibir el NullMixer, los
usuarios reciben varias amenazas a la vez. Cualquier información que se escriba
en el teclado estará disponible para los atacantes: desde los mensajes que
usted escriba a sus amigos en Facebook, la dirección que usa para hacer pedidos
en Amazon, hasta los inicios de sesión y contraseñas de su dispositivo o
cuentas de criptomonedas y datos de tarjetas de crédito. Como resultado, todo
el dispositivo con toda su información ahora estará en manos de los
ciberdelincuentes. Tenga esto en cuenta cuando decida bajar algo de un sitio
desconocido, porque esta amenaza siempre se puede evitar utilizando solo
productos con licencia y soluciones de seguridad sólidas”, comenta Haim Zigel,
investigador de seguridad de Kaspersky.