El programa captura la información que se escribe en el teclado, dejando en manos de los atacantes desde datos de tarjetas de crédito hasta cuentas de Facebook y Amazon.
Desde la empresa de ciberseguridad Kaspersky informan sobre una nueva campaña en la que se propaga el malware "NullMixer", capaz de robar credenciales, dirección, datos de tarjetas de crédito, criptomonedas e incluso cuentas de Facebook y Amazon de los usuarios.
Más de 47.500 personas fueron atacadas en el mundo con este software contaminado. NullMixer puede espiar a los usuarios y capturar cualquier información que ingrese en el teclado. Según la compañía, Centroamérica y el Caribe se encuentran entre los 15 países más afectados de América Latina.
En el continente, el Top 5 está integrado por Brasil, México, Colombia, Perú y Ecuador. Le siguen Argentina, Bolivia, Chile, Venezuela, Cuba y Paraguay. Guatemala, Costa Rica, Panamá y República Dominicana completan el listado de las naciones de la región más afectadas.
A nivel global, otros de los países más atacados son India, Rusia, Italia, Alemania, Francia, Egipto, Turquía y Estados Unidos.
Le puede interesar: El costo promedio de una brecha de seguridad en América Latina es de US$ 2,8 millones
Los ciberdelincuentes distribuyen este malware a través de sitios que ofrecen cracks, keygen y activadores para bajar software ilegalmente. Estas páginas poco confiables representan una amenaza para los usuarios ya que, en lugar de proporcionar el programa adecuado, infectan los dispositivos de las víctimas.
En la mayoría de los casos, los usuarios reciben adware u otro software no deseado, pero NullMixer es mucho más peligroso, porque puede descargar una gran cantidad de troyanos a la vez, lo que puede provocar una infección a gran escala de cualquier red informática.
De acuerdo a información de la empresa, una infección típica ocurre cuando se intenta bajar software contaminado de uno de estos sitios. El usuario es redirigido repetidamente a una página que contiene un programa archivado protegido por una contraseña e instrucciones detalladas. Todo parece normal, como si el usuario realmente estuviera a punto de bajar el programa que necesita. Sin embargo, al seguir las instrucciones, la víctima inicia el NullMixer, que coloca múltiples archivos de malware en el equipo infectado, incluidos descargadores, spyware, puertas traseras, banqueros y otras amenazas.
Entre las familias de amenazas que se propagan a través de NullMixer se encuentran RedLine, que busca datos de tarjetas de crédito y billeteras de criptomonedas de equipos infectados, así como el Disbuk, también conocido como Socelar. Con este, al robar las cookies de Facebook y Amazon, los atacantes pueden obtener acceso a las cuentas de la víctima, haciéndose así de sus credenciales, dirección e incluso sus detalles de pago.
Un detalle curioso es que los ciberdelincuentes utilizaban herramientas profesionales de SEO para mantenerse entre los primeros resultados de los motores de búsqueda, de modo que pudieran ser encontrados fácilmente al buscar palabras clave como “cracks” y “keygens” en Internet y dirigirse a la mayor cantidad de usuarios posible.
“Al recibir el NullMixer, los usuarios reciben varias amenazas a la vez. Cualquier información que se escriba en el teclado estará disponible para los atacantes: desde los mensajes a sus amigos en Facebook, la dirección que se usa para hacer pedidos en Amazon, hasta los inicios de sesión y contraseñas de su dispositivo o cuentas de criptomonedas y datos de tarjetas de crédito —explicó Haim Zigel, investigador de seguridad de Kaspersky—. Tenga esto en cuenta cuando decida bajar algo de un sitio desconocido, porque esta amenaza siempre se puede evitar utilizando solo productos con licencia y soluciones de seguridad sólidas”.
Comments