NullMixer: varios malware en uno

Explicamos cómo el dropper NullMixer puede descargar numerosos troyanos en un dispositivo.

Descargar software pirateado siempre es un juego de azar: algunos tienen suerte, otros no tanta: el usuario puede perder incluso más dinero del que hubiera pagado por una licencia. Ya hemos hablado mucho sobre diferentes tipos de malware que se esconden bajo la apariencia de juegos piratas y que se propagan a través de torrents. Recientemente, nuestros investigadores publicaron un nuevo estudio del dropper NullMixer, otra amenaza generalizada que los usuarios pueden encontrar si descargan software sin licencia.

¿Qué son los droppers troyanos? Por ejemplo, NullMixer

En pocas palabras, los droppers troyanos (o solamente “droppers”) son herramientas para distribuir software malicioso. Su objetivo principal es instalar otro malware de forma silenciosa (en algunos casos, varias instancias) en el dispositivo del usuario. Por ejemplo, veamos cómo lo hacen con NullMixer.

Este dropper es distribuido a través de sitios que prometen a los usuarios software pirata y cracks (herramientas para romper la protección de un software legítimo). Los desarrolladores de malware utilizan inteligentemente las herramientas de optimización de motores de búsqueda (SEO). Para consultas como “software descifrado” o “keygens” (jerga para generador de claves), los sitios maliciosos en cuestión suelen aparecer en la parte superior de los resultados de la búsqueda.

Al tratar de descargar software pirata desde un sitio como este, el usuario es redirigido varias veces hasta que llega a una página web determinada. En esta página, se puede ver un enlace a un archivo protegido por contraseña e instrucciones sobre cómo descargarlo y descomprimirlo.

Archivo e instrucciones para descargar software pirata falso

La buena noticia es que aquí no existen mecanismos engañosos para infectar la computadora de la víctima simplemente haciendo que visite el sitio. Todos los pasos, desde clicar en el enlace hasta descargar el malware y finalmente ejecutarlo, deben ser completados por los propios usuarios. Si una víctima sospecha y se detiene, no le pasará nada a su computadora. Los distribuidores de Nullmixer claramente intentan crear una falsa sensación de seguridad: muchas personas piensan que nada malo podría aparecer en la primera página de los resultados de búsqueda, por lo que descuidadamente dan clic y terminan instalando un troyano.

¿Qué malware viene con NullMixer?

NullMixer ejecuta muchas instancias de malware al mismo tiempo, y más de la mitad de ellas son descargadores maliciosos. Es decir, una vez lanzados, plantan alguna otra cosa (o, mejor dicho, cosas) en el sistema. Como resultado, en lugar del programa deseado, se descarga una gran cantidad de malware.

¿Qué más viene en el paquete además de los descargadores? Todo un conjunto de ladrones de información: programas que buscan datos de inicio de sesión. El más infame de estos es RedLine, que apareció en los radares de los investigadores por primera vez en 2020 y, desde entonces, se ha convertido en un “líder del mercado”. Roba contraseñas, detalles de tarjetas bancarias, claves de monederos de criptomonedas, cookies de sesión (que permiten que cualquier persona inicie sesión en sus cuentas sin contraseñas) y conversaciones de mensajería instantánea.

Además de los descargadores y los ladrones de información, las víctimas de NullMixer obtienen un par de troyanos bancarios, especialmente DanaBot. Éste no sólo roba información del dispositivo, sino que puede inyectar formularios falsos en tiendas online o páginas de redes sociales, para que las propias víctimas compartan con él los datos de su tarjeta bancaria. Quizá lo más importante sobre DanaBot es que puede proporcionar a sus propietarios acceso total al dispositivo infectado, lo que permite a los atacantes hacer lo que quieran.

Y, por último, pero no menos importante, el surtido de NullMixer también incluye un spyware completo. El troyano PseudoManuscrypt puede robar datos del usuario (incluso cuando se envía a través de una VPN), tomar capturas de pantalla y grabar audios y videos en pantalla. Como un verdadero espía, también es capaz de esconder sus huellas: para ocultar su actividad, PseudoManuscrypt elimina los registros del sistema.

¿Cómo evitar ser víctima de los cibercriminales?

Como mencionamos al inicio, descargar software pirata siempre es una aventura arriesgada. Entonces, como siempre, recomendamos solo instalar programas con licencia y descargarlos de fuentes oficiales. Si, por alguna razón, no puedes comprar una licencia de precio completo, siempre puedes buscar una alternativa gratuita, usar una versión de prueba por un tiempo o esperar a que haya descuentos. En este post, por ejemplo, te explicamos cómo ahorrar en juegos sin infringir la ley ni arriesgar tu dinero o tus cuentas.

Para estar seguro de que tu dispositivo realmente está seguro, usa una solución de seguridad confiable que mantenga el malware a raya. Nuestros productos capturan con éxito a NullMixer, además de la simpática compañía que trae consigo.

Consejos