NullMixer: o malware mil em um

Explicamos como o dropper NullMixer pode baixar vários Trojans em um dispositivo.

Baixar software pirata é sempre uma loteria: alguns têm sorte, outros nem tanto. O usuário pode acabar perdendo ainda mais dinheiro do que pagaria por uma licença. Já falamos muito sobre vários tipos de malware que se escondem sob o disfarce de jogos piratas e se espalham por meio de torrents. Recentemente, nossos pesquisadores publicaram um novo estudo do dropper NullMixer – outra ameaça generalizada que os usuários podem encontrar ao baixar software não licenciado.

O que são os Trojans droppers? Por exemplo: NullMixer

Em termos simples, os Trojans droppers  (ou apenas “droppers”) são ferramentas para distribuição de software malicioso. Seu principal objetivo é instalar silenciosamente outros malwares (em alguns casos, vários deles) no dispositivo do usuário. Vamos descobrir como eles fazem isso usando o NullMixer como exemplo.

Este dropper é distribuído por meio de sites que prometem aos usuários software pirata e cracks (ferramentas para quebrar a proteção de software legítimo). Os desenvolvedores de malware fazem uso inteligente de ferramentas de otimização de mecanismo de pesquisa (SEO). Para consultas como “software crackeado” ou “keygens” (gíria para gerador de chaves), os sites maliciosos em questão geralmente aparecem no topo dos resultados de pesquisa.

Ao tentar baixar um software pirata de um site desse tipo, o usuário é redirecionado várias vezes até chegar a uma determinada página da web. Nesta página, eles veem um link para um arquivo protegido por senha e instruções sobre como baixá-lo e descompactá-lo.

Arquivo e instruções para baixar falso software pirata

Arquivo e instruções para baixar falso software pirata

A boa notícia é que não existem mecanismos complexos para infectar o computador da vítima com uma simples visita ao site. Todas as etapas — desde clicar no link até baixar o malware e, eventualmente, iniciá-lo — devem ser concluídas pelos próprios usuários. Se uma vítima sentir o perigo e parar antes de todos esses passos, nada acontecerá com o computador. Os distribuidores do Nullmixer estão claramente contando com a criação de uma falsa sensação de segurança: muitas pessoas pensam que nada de ruim poderia aparecer na primeira página dos resultados de pesquisa, e assim, descuidadamente, clicam e acabam instalando um Trojan.

Quais malwares estão acoplados ao NullMixer

O NullMixer executa muitas instâncias de malware de uma só vez, e mais da metade delas são downloaders maliciosos. Ou seja, uma vez lançados, eles plantam alguma outra coisa (ou provavelmente coisas) em seu sistema. Como resultado, em vez do programa que você deseja, você obtém uma série de malwares.

O que mais vem no pacote além de downloaders? Todo um conjunto de ladrões de senha — programas que caçam credenciais de login. O mais famoso deles é o RedLine, que apareceu pela primeira vez nos radares dos pesquisadores em 2020 e desde então se tornou um “líder de mercado”. Ele rouba senhas, detalhes de cartões bancários, chaves de criptocarteiras, cookies de sessão (que permitem que qualquer pessoa faça login em suas contas sem senhas) e mensagens do IMs.

Além de downloaders e ladrões de senhas, as vítimas do NullMixer recebem alguns Trojans bancários, principalmente o DanaBot. Este não apenas rouba informações do dispositivo, mas pode injetar formulários falsos em lojas online ou páginas de redes sociais, para que as próprias vítimas compartilhem seus dados de cartão bancário com ele. E, talvez o ponto mais importante, o DanaBot pode fornecer a seus proprietários acesso total ao dispositivo infectado, permitindo que os invasores façam o que quiserem.

E por último, mas não menos importante, a variedade NullMixer também inclui spyware completo. O Trojan PseudoManuscrypt pode roubar dados do usuário (mesmo quando enviados por meio de uma VPN), fazer capturas de tela e gravar áudio e vídeo na tela. Como um espião real, ele também pode e encobrir seus rastros: para ocultar sua atividade: o PseudoManuscrypt é capaz de excluir os logs do sistema.

Como não se tornar vítima de cibercriminosos

Como dissemos no início, baixar software pirata é sempre uma decisão arriscada. Portanto, como sempre, recomendamos instalar apenas programas licenciados baixados de fontes oficiais. Se, por algum motivo, você não conseguir comprar uma licença pelo preço integral, sempre poderá procurar uma alternativa gratuita, usar uma versão de avaliação por um tempo ou aguardar alguns descontos. Neste post, por exemplo, explicamos como economizar em jogos sem infringir a lei, arriscar seu dinheiro ou contas.

Para garantir que seu dispositivo esteja realmente seguro, use uma solução de segurança confiável que manterá os malwares sob controle. Nossos produtos capturam com sucesso o próprio NullMixer, além de todo o bonde que vem com ele.

Dicas