Procede inesorabile l’attenzione dei criminali informatici nei confronti dei software “piratati”, prendendo di mira tutti gli utenti che ricorrono a questa tecnica per sfuggire ai limiti imposti da una determinata licenza software proprietaria, eventualmente restrittiva nell’uso quotidiano di un dato programma.
È il caso proprio del recente aggiornamento della società di sicurezza informatica Kaspersky, che ha raccolto in un report, utili dettagli sulla nuova campagna malevola denominata NullMixer.
Indice degli argomenti
Come funziona un attacco col malware NullMixer
La tecnica è quella ormai consolidata di altri suoi predecessori: la vittima diventa tale nel momento in cui inizia una ricerca online su un determinato software utilizzando parole chiave come “keygen” o “crack”. A questo punto, verrà reindirizzato molteplici volte con una serie di link redirect incrociati a vari servizi, atterrando finalmente sulla pagina Web che permetterà il download del software malevolo.
Per far sembrare tutto legittimo, il malware viene impacchettato in un archivio compresso protetto da una password fornita, sotto forma di istruzioni, nella descrizione del download stesso. Seguendo tali “istruzioni”, fino all’esecuzione dell’eseguibile contenuto all’interno, l’utente di fatto lancerà NullMixer, del tutto ignaro di quello che sta accadendo all’interno della propria macchina.
Cosa spia NullMixer
NullMixer spiana la strada, a tutti gli effetti, ai vari malware compresi nel suo pacchetto di installazione. In particolare, contiene un downloader in grado di scaricare SmokeLoader/Smoke, LgoogLoader, Disbuk, RedLine, Fabookie, ColdStealer. Tutti malware già noti per la loro pericolosità.
Dalle evidenze della ricerca si evince che finora sono state contingentate circa 47.000 infezioni da NullMixer, prevalentemente in Brasile, India, Russia, Germania, Francia, Egitto, Turchia e Stati Uniti. Anche l’Italia rientra nella classifica dei Paesi più colpiti con un totale di 1.242 utenti attaccati.
“Tra le famiglie di minacce diffuse tramite NullMixer, c’è il famoso RedLine stealer, che va alla ricerca di dati di carte di credito e portafogli di criptovalute dai computer infetti, oltre a Disbuk, noto anche come Socelar. Rubando i cookie da Facebook e Amazon con Disbuk, gli attaccanti possono accedere agli account delle vittime da questi siti, ottenendo le loro credenziali, l’indirizzo e persino i dettagli di pagamento”, si legge nel comunicato di Kaspersky.
Un arsenale di questo genere è sufficientemente preoccupante anche solo per la capacità di catturare qualsiasi informazione digitata dalla tastiera della vittima, fornendo in questa maniera direttamente in mano criminale codici e password di ogni genere, oltre che tutte le nostre conversazioni private.
Un vantaggio criminale col posizionamento online
La campagna descritta è arricchita di dettagli che ne garantiscono l’efficacia su larga scala. Un esempio di questo è dato proprio dai notevoli processi SEO implementati dai criminali che stanno diffondendo NullMixer.
È stato rilevato uno studio minuzioso dei dettagli utili a Google per ottenere un buon posizionamento nelle ricerche. Così facendo le richieste sul settore “crack e software piratati”, sono predominati dalle pagine Web malevole, che diffondono l’eseguibile con l’infezione.
Che lezione impariamo da NullMixer
“Qualsiasi download di file da risorse non affidabili è un vero e proprio giro di roulette: non si sa mai cosa uscirà. Con NullMixer gli utenti ricevono diverse minacce contemporaneamente. Qualsiasi informazione digitata sulla tastiera sarà a disposizione degli attaccanti: dai messaggi scritti agli amici su Facebook, all’account Amazon oltre a login e password del dispositivo o degli investimenti in criptovaluta fino ai dati della carta di credito”, commenta Haim Zigel, Security Researcher di Kaspersky.
Con l’intenzione di evitare che le nostre informazioni bancarie vengano rubate e che gli account online vengano compromessi, si consiglia vivamente sempre di ottenere programmi software esclusivamente da fonti attendibili e conosciute (presumibilmente sempre il fornitore ufficiale), evitando siti Web di terze parti, seppur recanti nomi simili a fonti note, che promettono gratuità allettanti su software a pagamento.
Infine, evitare sempre di mantenere il computer scoperto da software antivirus. Benché tutte le buone pratiche sopra citate possono essere sufficienti a garantire una certa sicurezza “fidandoci” unicamente di quello che è lecito e che conosciamo, disattivare il software antivirus, qualsiasi esso sia, non è mai una buona pratica se si sta scaricando del software (che immaginiamo legittimo) dal Web. Una preliminare scansione, infatti, è oggi in grado di rilevare le minacce intrinseche di NullMixer, allertando così l’utente sul pericolo imminente.
