Skip to main

Kaspersky-Experten haben eine neue Kampagne Cyberkrimineller identifiziert, die von der Spyware ‚NullMixer‘ [1] verbreitet wird. Diese Malware kann Anmeldeinformationen, Adressen, Kreditkartendaten, Kryptowährungen und sogar Facebook- und Amazon-Konten von Nutzern stehlen, indem sie alle auf der Tastatur eingegebenen Informationen sammelt. Mehr als 47.500 Anwender infizierten sich mit NullMixer beim Versuch, gecrackte Software von Drittanbieterseiten herunterzuladen. In Deutschland waren 1.100 Nutzer im ersten Halbjahr betroffen, in Österreich konnten 143 Fälle und in der Schweiz 117 Betroffene festgestellt werden.

NullMixer wird aktiv von Cyberkriminellen über Websites verbreitet, die Cracks, Keygens und Activators für den illegalen Download von Software anbieten. Solche nicht vertrauenswürdigen Seiten stellen stets eine Bedrohung dar, da sie die Geräte der Opfer häufig mit Malware infizieren, anstatt tatsächlich Software herunterzuladen. In den meisten Fällen erhalten die Anwender Adware oder andere unerwünschte Software; NullMixer jedoch ist weitaus gefährlicher, da die Malware eine große Anzahl an Trojanern herunterladen kann. Dies führt im schlimmsten Fall zu einer großflächigen Infektion des Computernetzwerks.

Subtile, multifunktionale Kompromittierungstaktik

Der typische Infektionsweg verläuft über den Versuch eines Downloads einer gecrackten Software von einer dieser Websites. Der Nutzer wird dabei wiederholt auf eine Seite umgeleitet, die ein passwortgeschütztes, archiviertes Programm und detaillierte Anweisungen enthält. Alles sieht innerhalb dieses Prozesses völlig gewöhnlich aus, so als wäre der Nutzer wirklich gerade dabei, die gewünschte Software herunterzuladen. Wird den Anweisungen nun jedoch gefolgt, so führt dies zur Aktivierung von NullMixer, wodurch mehrere Malware-Dateien auf dem infizierten Computer abgelegt werden, darunter Downloader, Spyware, Backdoors, Banking-Malware oder andere Arten von Bedrohungen.

Zu den Bedrohungsfamilien, die sich über NullMixer verbreiten, gehört der berüchtigte RedLine-Stealer, der es auf Daten von Kreditkarten und Kryptowährungs-Wallets auf infizierten Rechnern abgesehen hat, sowie Disbuk, auch bekannt als Socelar. Indem Cyberkriminelle mit Disbuk Cookies von Facebook und Amazon stehlen, haben sie Zugriff auf die Konten ihrer Opfer und erhalten so deren Anmeldeinformationen, Adressen und sogar Zahlungsdaten.

Um potenzielle Opfer anzulocken, setzen Cyberkriminelle gezielt professionelle SEO-Tools ein, mit denen sie in den ersten Ergebnissen von Suchmaschinen erscheinen. Bei der Suche nach „Cracks“ und „Keygens“ im Internet sind diese Websites dann leicht auffindbar und es werden möglichst viele Nutzer erreicht.

Seit Anfang dieses Jahres haben die Sicherheitslösungen von Kaspersky weltweit mehr als 47.500 Infektionsversuche blockiert. Einige der am stärksten betroffenen Länder sind Brasilien, Indien, Russland, Italien, Deutschland, Frankreich, Ägypten, die Türkei und die USA. Deutschland liegt mit 1.100 angegriffenen Nutzern in den Top 10 der am häufigsten angegriffenen Länder; Österreich hat 143 Fälle zu verzeichnen, die Schweiz 117.

„Jeder Download aus nicht vertrauenswürdigen Quellen ist ein Roulettespiel“, betont Haim Zigel, Sicherheitsforscher bei Kaspersky. „Man weiß nie, wo eine Bedrohung lauert und wann diese die eigene IT-Infrastruktur angreift. Bei NullMixer sehen sich die Nutzer mit mehreren Bedrohungen auf einmal konfrontiert. Alle Informationen, die sie auf ihrer Tastatur eingeben, stehen den Angreifern zur Verfügung: von Nachrichten, die sie Freunden auf Facebook schreiben, über die Adresse, mit der sie bei Amazon bestellen, bis hin zu Logins und Passwörtern ihres Geräts oder Kryptowährungskonten und Kreditkartendaten. Damit befindet sich das gesamte Gerät mit allen sensiblen Informationen in den Händen von Cyberkriminellen. Deshalb sollten nur lizenzierte Produkte heruntergeladen und zusätzlich robuste Sicherheitslösungen verwendet werden.“

Kaspersky-Tipps zum Schutz vor NullMixer

  • Software sollte nur von vertrauenswürdigen Quellen heruntergeladen werden. Malware und unerwünschte Anwendungen werden oft über Drittanbieter-Ressourcen verbreitet, deren Sicherheit von niemandem in gleicher Weise überprüft wird, wie es in offiziellen Webshops der Fall ist.
  • Raubkopierte Software oder andere illegale Inhalte sollten niemals heruntergeladen werden, auch wenn Nutzer von einer legitimen Website dorthin weitergeleitet wurden.
  • Online-Konten sollten regelmäßig auf unbekannte Transaktionen überprüft werden.
  • Eine robuste Sicherheitslösung wie Kaspersky Premium [2] einsetzen, die vor Bedrohungen schützt, genutzt werden.

Weitere Informationen zur Kampagne NullMixer sind verfügbar unter https://www.kaspersky.com/blog/dangers-of-browser-extensions/45448/

 

[1] https://www.kaspersky.com/blog/dangers-of-browser-extensions/45448/

[2] https://kas.pr/re3t


Nützliche Links:

Spyware NullMixer macht Jagd auf Zahlungsdaten, Kryptowährungen und Nutzerkonten sozialer Netzwerke

Deutschland unter den Top 10 der am häufigsten angegriffenen Länder
Kaspersky Logo