Se trata de una campaña activa, presente en todo el mundo, con Brasil, México, Colombia, Perú y Ecuador liderando la lista de los países más afectados de América Latina.
Los investigadores de Kaspersky han descubierto una nueva campaña en la que se propaga el NullMixer, un malware que roba las credenciales, dirección, datos de tarjetas de crédito, criptomonedas e incluso, las cuentas de Facebook y Amazon de los usuarios. A nivel mundial, más de 47,500 personas fueron atacadas con este software contaminado al intentar descargarlo de sitios de terceros. NullMixer puede espiar a los usuarios y capturar cualquier información que ingresen en el teclado. En América Latina, el Top5 de países más afectados está integrado por Brasil, México, Colombia, Perú y Ecuador.
Los ciberdelincuentes distribuyen activamente este malware a través de sitios web que ofrecen crack, keygen y activadores para bajar software ilegalmente. Estas páginas poco confiables siempre representan una amenaza para los usuarios, ya que, en lugar de proporcionar el software adecuado, infectan con malware los dispositivos de las víctimas. En la mayoría de los casos, los usuarios reciben adware u otro software no deseado, pero NullMixer es mucho más peligroso, ya que puede descargar una gran cantidad de troyanos a la vez, lo que puede provocar una infección a gran escala de cualquier red informática.
Una infección típica ocurre cuando se intenta bajar software contaminado de uno de estos sitios. El usuario es redirigido repetidamente a una página que contiene un programa archivado protegido por una contraseña e instrucciones detalladas. Todo parece normal, como si el usuario realmente estuviera a punto de bajar el software que necesita. Sin embargo, al seguir las instrucciones, la víctima inicia el NullMixer, que coloca múltiples archivos de malware en el equipo infectado, incluidos descargadores, spyware, puertas traseras, banqueros y otras amenazas.
Entre las familias de amenazas que se propagan a través de NullMixer se encuentran RedLine, que busca datos de tarjetas de crédito y billeteras de criptomonedas de equipos infectados, así como el Disbuk, también conocido como Socelar. Con este último, al robar las cookies de Facebook y Amazon, los atacantes pueden obtener acceso a las cuentas de la víctima, obteniendo así sus credenciales, dirección e incluso sus detalles de pago.
Curiosamente, los ciberdelincuentes utilizaban específicamente herramientas profesionales de SEO para mantenerse en los primeros resultados de los motores de búsqueda, de modo que pudieran ser encontrados fácilmente al buscar “cracks” y “keygens” en Internet y dirigirse a la mayor cantidad de usuarios posible.
Desde principios de este año, las soluciones de seguridad de Kaspersky han bloqueado los intentos de infectar a más de 47,500 usuarios en todo el mundo. A nivel global, algunos de los países más atacados son Brasil, India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y Estados Unidos.
En América Latina, el Top5 de países más afectados está integrado por Brasil, México, Colombia, Perú y Ecuador. A estos le siguen Argentina, Bolivia, Chile, Venezuela, Cuba y Paraguay. Los países centroamericanos de Guatemala, Costa Rica y Panamá, así como el país caribeño de República Dominicana, completan el Top15 de las naciones de la región más afectadas.
“Descargar archivos desde recursos que no son de confianza es verdaderamente jugar a la ruleta rusa: nunca se sabe cuándo va a disparar y cuál será la próxima amenaza. Al recibir el NullMixer, los usuarios reciben varias amenazas a la vez. Cualquier información que se escriba en el teclado estará disponible para los atacantes: desde los mensajes que usted escriba a sus amigos en Facebook, la dirección que usa para hacer pedidos en Amazon, hasta los inicios de sesión y contraseñas de su dispositivo o cuentas de criptomonedas y datos de tarjetas de crédito. Como resultado, todo el dispositivo con toda su información ahora estará en manos de los ciberdelincuentes. Tenga esto en cuenta cuando decida bajar algo de un sitio desconocido, porque esta amenaza siempre se puede evitar utilizando solo productos con licencia y soluciones de seguridad sólidas”, comenta Haim Zigel, investigador de seguridad de Kaspersky.
Para protegerse contra NullMixer, Kaspersky recomienda:
- Utilice únicamente fuentes confiables para bajar software. El malware y las aplicaciones no deseadas a menudo se distribuyen a través de recursos de terceros donde nadie verificará su seguridad como lo hacen las tiendas web oficiales.
- Evite descargar softwares pirateados o algún otro contenido ilegal, incluso si le redirigen desde un sitio web legítimo.
- Revise sus cuentas en línea con regularidad para ver si hay transacciones desconocidas. Incluso con una navegación por Internet cuidadosa, el software espía que se ha bajado puede robar información cuando se ingresa en sitios web que son seguros. El software espía funciona como una cámara de video que brinda a otro usuario una ventana para cada acción que se realiza en la computadora infectada. El propietario generalmente no sabe que el malware está en la computadora y continúa agregando información personal en sitios web bancarios que son seguros.
- Utilice una solución de seguridad robusta. Navegar privadamente, como en Kaspersky Internet Security, puede ayudarle a evitar que le sigan en Internet y protegerlo contra las amenazas.
Lea más sobre NullMixer en el informe completo en Securelist.