{"id":29356,"date":"2022-10-11T14:51:29","date_gmt":"2022-10-11T12:51:29","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29356"},"modified":"2022-10-11T15:06:31","modified_gmt":"2022-10-11T13:06:31","slug":"nullmixer-trojan-dropper","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/nullmixer-trojan-dropper\/29356\/","title":{"rendered":"NullMixer: Diverse Schadprogramme in einem"},"content":{"rendered":"

Der Download raubkopierter Software ist immer eine Gl\u00fccksfrage: Manche Nutzer sind erfolgreich, andere eher weniger und am Ende k\u00f6nnen sie sogar mehr Geld verlieren, als eine v\u00f6llig legale Lizenz kosten w\u00fcrde. Wir haben schon oft \u00fcber verschiedene Arten von Malware gesprochen, die sich unter dem Deckmantel raubkopierter Spiele<\/a> verstecken und \u00fcber Torrents<\/a> verbreiten. K\u00fcrzlich haben unsere Forscher eine neue Studie \u00fcber den Dropper NullMixer<\/a> ver\u00f6ffentlicht \u2013 eine weitere weit verbreitete Bedrohung, auf die Benutzer beim Download von nicht lizenzierter Software treffen k\u00f6nnen.<\/p>\n

Was sind Trojan-Dropper wie NullMixer?<\/h2>\n

Vereinfacht ausgedr\u00fcckt sind Trojan-Dropper<\/a> (oder einfach nur \u201eDropper\u201c) Tools zur Verbreitung von Schadsoftware. Ihr prim\u00e4rer Zweck besteht darin, unbemerkt andere Malware (in manchen F\u00e4llen mehrere Instanzen) auf dem Ger\u00e4t des Benutzers zu installieren. Am Beispiel von NullMixer erkl\u00e4ren wir Ihnen, wie genau sie das tun.<\/p>\n

Der Dropper wird \u00fcber Websites verbreitet, die Nutzern raubkopierte Software und Cracks<\/a> (Tools zum Umgehen der Schutzmechanismen legitimer Software) versprechen. Die Entwickler der Malware nutzen dabei geschickt die Tools der Suchmaschinenoptimierung<\/a> (SEO). Bei Suchanfragen wie \u201ecracked Software\u201c oder \u201ekeygens\u201c (Slang f\u00fcr Key generator<\/a>) erscheinen die sch\u00e4dlichen Websites deshalb oft unter den ersten Suchergebnissen.<\/p>\n

Beim Versuch, raubkopierte Software von einer solchen Website herunterzuladen, wird der Benutzer auf mehrere Webseiten umgeleitet, bis er auf einer Site landet, die einen Link zu einem passwortgesch\u00fctzten Archiv und Anweisungen zum Herunterladen und Entpacken desselben bereitstellt.<\/p>\n

\"\"

Archiv und Anleitung f\u00fcr den Download von angeblich raubkopierter Software<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Die gute Nachricht ist, dass es hier keinen raffinierten Mechanismus gibt, um den Computer eines Opfers zu infizieren, indem man es lediglich dazu bringt, eine Website zu besuchen. Ganz im Gegenteil: Jeder Schritt des Prozesses \u2013 vom \u00d6ffnen des Links bis zum Download und Ausf\u00fchren der Malware \u2013 muss vom Benutzer h\u00f6chstpers\u00f6nlich ausgef\u00fchrt werden. Wenn das Opfer den Braten riecht und den Vorgang abbricht, wird sein Computer vor einer Infektion gesch\u00fctzt \u2013 die Entwickler von NullMixer setzen jedoch eindeutig darauf, ein falsches Gef\u00fchl der Sicherheit beim Nutzer zu erzeugen. Denn viele Menschen denken, dass auf der ersten Suchergebnisseite nur legitime Quellen erscheinen, und klicken deshalb unvorsichtigerweise auf ein Suchergebnis, \u00fcber das dann der Trojaner installiert wird.<\/p>\n

NullMixer bringt weitere Malware mit sich<\/h2>\n

NullMixer f\u00fchrt viele Instanzen von Malware auf einmal aus, und mehr als die H\u00e4lfte von ihnen sind Downloader<\/a> sch\u00e4dlicher Natur. Das hei\u00dft, sobald sie gestartet werden, schleusen sie ungew\u00fcnschte Dinge auf Ihr System. Das Ergebnis ist eine ganze Reihe von Malware, die nichts mit dem eigentlich gew\u00fcnschten Programm zu tun hat.<\/p>\n

Was ist au\u00dfer den Downloadern noch im Paket enthalten? Eine ganze Reihe von Stealern<\/a> \u2013 Programme, die es auf Anmeldedaten abgesehen haben. Das ber\u00fcchtigtste dieser Programme ist RedLine<\/a>, das im Jahr 2020 die Aufmerksamkeit der Forscher auf sich zog und seither zu einem der \u201eMarktf\u00fchrer\u201c geworden ist. Es stiehlt Passw\u00f6rter, Bankkartendaten, Kryptow\u00e4hrungsschl\u00fcssel, Sitzungscookies (die es jedem erm\u00f6glichen, sich ohne Passw\u00f6rter bei Ihren Konten anzumelden) und Nachrichten aus IMs.<\/p>\n

Neben den hier erw\u00e4hnten Downloadern und Stealern erhalten Opfer von NullMixer dar\u00fcber hinaus einige Banking-Trojaner<\/a>, vor allem DanaBot<\/a>. Dieser Trojaner stiehlt nicht nur Informationen vom Ger\u00e4t, sondern kann Fake-Formulare in Online-Shops oder auf sozialen Netzwerken einf\u00fcgen, sodass die Opfer selbst ihre Bankkartendaten mit ihm teilen. Am wichtigsten ist vielleicht, dass DanaBot seinen Entwicklern vollen Zugriff auf das infizierte Ger\u00e4t verschaffen kann und die Angreifer ihr Unwesen dann ohne jegliche Scheu treiben k\u00f6nnen.<\/p>\n

Zu guter Letzt enth\u00e4lt das NullMixer-Sortiment auch vollwertige Spyware. Der Trojaner PseudoManuscrypt<\/a> kann Benutzerdaten entwenden (auch wenn sie \u00fcber ein VPN gesendet werden) und Screenshots, Audio- und Bildschirmaufnahmen erstellen. Zudem kommt, dass er seine Spuren effektiv verwischt, denn um seine Aktivit\u00e4ten zu verbergen, l\u00f6scht PseudoManuscrypt die Systemprotokolle<\/a>.<\/p>\n

So sch\u00fctzen Sie sich vor Cyberkriminellen<\/h2>\n

Wie bereits zu Beginn erw\u00e4hnt, ist der Download von raubkopierter Software immer ein riskantes Vorhaben. Daher empfehlen wir, ausschlie\u00dflich lizenzierte Programme zu installieren, die aus offiziellen Quellen stammen. Sollten Sie, aus welchen Gr\u00fcnden auch immer, keine Vollpreislizenz erwerben k\u00f6nnen, sollten Sie immer nach anderen kostenlosen Alternativen suchen, auf Testversionen umsteigen oder auf besondere Rabatte warten. In diesem Beitrag<\/a> erkl\u00e4ren wir zum Beispiel, wie Sie bei Spielen sparen k\u00f6nnen, ohne dabei gegen das Gesetz zu versto\u00dfen oder Ihr Geld und Ihre Konten zu gef\u00e4hrden.<\/p>\n

Um sicherzustellen, dass Ihr Ger\u00e4t wirklich gesch\u00fctzt ist, verwenden Sie eine zuverl\u00e4ssige Sicherheitsl\u00f6sung<\/a>, die Malware im Zaum h\u00e4lt. Unsere Produkte sch\u00fctzen Sie effektiv vor NullMixer & Co.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Wir erkl\u00e4ren, wie der Dropper NullMixer zahlreiche Trojaner auf Ihrem Ger\u00e4t installieren kann.<\/p>\n","protected":false},"author":2477,"featured_media":29358,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[3805,4009,4010,257,33],"class_list":{"0":"post-29356","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-dropper","9":"tag-nullmixer","10":"tag-piraterie","11":"tag-trojaner","12":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nullmixer-trojan-dropper\/29356\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nullmixer-trojan-dropper\/24741\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nullmixer-trojan-dropper\/20212\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nullmixer-trojan-dropper\/27215\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nullmixer-trojan-dropper\/25069\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nullmixer-trojan-dropper\/25372\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nullmixer-trojan-dropper\/27911\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/nullmixer-trojan-dropper\/27253\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nullmixer-trojan-dropper\/34055\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/nullmixer-trojan-dropper\/11093\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nullmixer-trojan-dropper\/45723\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nullmixer-trojan-dropper\/19559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nullmixer-trojan-dropper\/20128\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/nullmixer-trojan-dropper\/32603\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/nullmixer-trojan-dropper\/28523\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nullmixer-trojan-dropper\/25492\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nullmixer-trojan-dropper\/31116\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nullmixer-trojan-dropper\/30806\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/trojaner\/","name":"Trojaner"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29356"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29356\/revisions"}],"predecessor-version":[{"id":29359,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29356\/revisions\/29359"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29358"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}