Spyware NullMixer macht Jagd auf Zahlungsdaten, Kryptowährungen und Nutzerkonten sozialer Netzwerke

Kaspersky-Experten haben eine neue Cyberkriminalitätskampagne identifiziert, die von der Spyware NullMixer verbreitet wird. Diese Malware kann die Anmeldedaten, Adressen, Kreditkartendaten, Kryptowährungen und sogar Facebook- und Amazon-Konten von Benutzern stehlen, indem sie alle über die Tastatur eingegebenen Informationen sammelt.

Mehr als 47.500 Benutzer wurden mit NullMixer infiziert, als sie versuchten, gecrackte Software von Websites Dritter herunterzuladen. In Deutschland waren im ersten Halbjahr 1.100 Nutzer betroffen, in Österreich 143 Fälle und in der Schweiz 117. NullMixer wird von Cyberkriminellen aktiv über Websites verbreitet, die Cracks, Keygens und Aktivatoren für illegale Software-Downloads anbieten. Solche nicht vertrauenswürdigen Websites stellen immer eine Bedrohung dar, da sie die Geräte der Opfer häufig mit Malware infizieren, anstatt tatsächlich Software herunterzuladen. In den meisten Fällen erhalten Benutzer Adware oder andere unerwünschte Software; Allerdings ist NullMixer weitaus gefährlicher, da die Malware eine große Anzahl von Trojanern herunterladen kann. Dies führt im schlimmsten Fall zu einer großflächigen Infektion des Computernetzwerks.

Subtile, multifunktionale Kompromisstaktiken

Der typische Infektionsweg ist der Versuch, geknackte Software von einer dieser Websites herunterzuladen. Der Benutzer wird immer wieder auf eine Seite weitergeleitet, die ein passwortgeschütztes, archiviertes Programm und detaillierte Anweisungen enthält. Alles in diesem Prozess sieht völlig normal aus, als wäre der Benutzer tatsächlich dabei, die gewünschte Software herunterzuladen. Das Befolgen der Anweisungen führt nun jedoch zur Aktivierung von NullMixer, wodurch mehrere Malware-Dateien auf dem infizierten Computer abgelegt werden, darunter Downloader, Spyware, Backdoors, Banking-Malware oder andere Arten von Bedrohungen. Zu den Bedrohungsfamilien, die sich über NullMixer verbreiten, gehören der berüchtigte RedLine-Stealer, der es auf Kreditkarten- und Kryptowährungs-Wallet-Daten auf infizierten Computern abgesehen hat, und Disbuk, auch bekannt als Socelar.

Durch den Diebstahl von Cookies von Facebook und Amazon mit Disbuk verschaffen sich Cyberkriminelle Zugang zu den Konten ihrer Opfer und erhalten deren Anmeldedaten, Adressen und sogar Zahlungsdetails. Um potenzielle Opfer anzulocken, nutzen Cyberkriminelle professionelle SEO-Tools, um in den ersten Suchmaschinenergebnissen aufzutauchen. Bei der Suche nach „Cracks“ und „Keygens“ im Internet sind diese Webseiten dann leicht zu finden und es werden möglichst viele Nutzer erreicht. Seit Anfang dieses Jahres haben Kaspersky-Sicherheitslösungen mehr als 47.500 Infektionsversuche weltweit blockiert. Zu den am stärksten betroffenen Ländern zählen Brasilien, Indien, Russland, Italien, Deutschland, Frankreich, Ägypten, die Türkei und die USA. Mit 1.100 angegriffenen Nutzern gehört Deutschland zu den Top 10 der am häufigsten angegriffenen Länder; Österreich hat 143 Fälle, die Schweiz 117. „Jeder Download aus nicht vertrauenswürdigen Quellen ist ein Roulettespiel“, betont Haim Zigel, Sicherheitsforscher bei Kaspersky. „Man weiß nie, wo eine Bedrohung lauert und wann sie Ihre eigene IT-Infrastruktur angreift.“ Daher empfehlen wir Ihnen, die vertrauenswürdige Anti-Malware-Lösung beim Surfen.

Mit NullMixer sind Benutzer mehreren Bedrohungen gleichzeitig ausgesetzt. Alle Informationen, die sie auf ihrer Tastatur eingeben, stehen den Angreifern zur Verfügung: von Nachrichten, die sie an Freunde auf Facebook schreiben, über die Adresse, mit der sie bei Amazon bestellen, bis hin zu ihren Geräte-Logins und Passwörtern oder Kryptowährungskonten und Kreditkartendaten. Dadurch bleibt das gesamte Gerät mit allen sensiblen Informationen in den Händen von Cyberkriminellen. Daher sollten nur lizenzierte Produkte heruntergeladen und zusätzliche robuste Sicherheitslösungen verwendet werden.“