Nieuwe actieve campagne NullMixer jaagt op betaalgegevens, cryptocurrencies en sociale netwerkaccounts van gebruikers

Utrecht, 27 september 2022 – Onderzoekers van Kaspersky hebben een nieuwe campagne ontdekt die malware NullMixer verspreidt die informatie zoals adres- en creditcardgegevens, maar ook cryptocurrencies en zelfs Facebook- en Amazon-accounts van gebruikers steelt. Bij een poging om gekraakte software te downloaden van sites van derden, werden meer dan 47.500 gebruikers aangevallen met NullMixer, dat in staat is om gebruikers te bespioneren en alle informatie vast te leggen die ze op het toetsenbord invoeren. In Nederland waren 186 gebruikers het slachtoffer van de malware.

NullMixer wordt actief verspreid door cybercriminelen via websites die cracks, keygens en activators aanbieden voor het illegaal downloaden van software. Dergelijke onbetrouwbare pagina’s vormen altijd een bedreiging voor gebruikers, omdat ze in plaats van de juiste software aan te bieden, de apparaten van slachtoffers infecteren met malware. In de meeste gevallen ontvangen gebruikers adware of andere ongewenste software, maar NullMixer is veel gevaarlijker omdat het een groot aantal Trojaanse paarden tegelijk kan downloaden. Dit kan leiden tot een grootschalige infectie van een computernetwerk.

Een typische infectie vindt plaats bij een poging om gekraakte software te downloaden van één van deze sites. De gebruiker wordt herhaaldelijk omgeleid naar een pagina met een wachtwoord beveiligd gearchiveerd programma en gedetailleerde instructies. Alles ziet er normaal uit alsof de gebruiker echt op het punt staat de benodigde software te downloaden. Maar als de instructies worden gevolgd, start het slachtoffer in werkelijkheid NullMixer, dat meerdere malwarebestanden op het geïnfecteerde apparaat plaatst, waaronder downloaders, spyware, backdoors, bankers en andere bedreigingen.

Als de gebruiker de gewenste software probeert te installeren, ontvangt hij ook de gedetailleerde downloadinstructies.

Onder de dreigingsfamilies die via NullMixer worden verspreid, bevindt zich de beruchte RedLine stealer die jaagt op creditcard- en cryptocurrency-portefeuillegegevens van geïnfecteerde apparaten, evenals Disbuk, ook bekend als Socelar. Door met Disbuk cookies van Facebook en Amazon te stelen, kunnen cybercriminelen toegang krijgen tot de accounts van het slachtoffer en hun adres en zelfs betalingsgegevens bemachtigen.

Merkwaardig genoeg gebruikten de cybercriminelen specifiek professionele SEO-tools om in de eerste resultaten van zoekmachines te komen, zodat ze makkelijk gevonden worden bij het zoeken naar “cracks” en “keygens” op internet, waardoor ze zich op zoveel mogelijk gebruikers konden richten.

Top Google resultaten voor “crack software” bevatten kwaadaardige websites die NullMixer leveren

Sinds het begin van dit jaar hebben de security-oplossingen van Kaspersky pogingen om meer dan 47.500 gebruikers wereldwijd te infecteren geblokkeerd. De cybercriminelen richtte zich vooral op Brazilië, India, Rusland, Italië, Duitsland, Frankrijk, Egypte, Turkije en de Verenigde Staten.
“Elke download van een onbetrouwbare bron is een echt spelletje roulette: je weet nooit wanneer hij afgaat, en welke bedreiging je deze keer krijgt. Bij ontvangst van NullMixer krijgen gebruikers verschillende bedreigingen tegelijk. Alle informatie die je op je toetsenbord typt, is beschikbaar voor de aanvallers: van berichten die je naar je vrienden op Facebook schrijft, het adres waarmee je op Amazon bestelt, tot logins en wachtwoorden van je apparaat of cryptocurrency-accounts, en creditcardgegevens. Daardoor is het hele apparaat met alle informatie nu in handen van cybercriminelen. Houd dit in gedachten wanneer je besluit om iets te downloaden van een onbekende site, want deze dreiging kan altijd worden voorkomen door alleen gelicentieerde producten en robuuste security-oplossingen te gebruiken”, zegt Haim Zigel, security researcher bij Kaspersky.

Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.