Троян-дроппер NullMixer: много зловредов в одном

Рассказываем о том, как дроппер NullMixer загружает на устройство множество других троянов.

NullMixer притворяется пиратским ПО и доставляет зловредов

Скачивание пиратского ПО — это всегда лотерея: кому-то везет, а кому-то нет, и в итоге некоторым неосторожным пользователям за «пиратку» приходится заплатить даже больше, чем за лицензию. Мы уже не раз рассказывали о различных зловредах, прикидывающихся пиратскими играми, а также передающихся через торренты. Недавно наши исследователи опубликовали свежее исследование трояна-дроппера NullMixer — еще одной распространенной угрозы, с которой могут столкнуться пользователи при попытке скачать нелицензионное ПО.

Что такое трояны-дропперы и как они работают — на примере NullMixer

Говоря простыми словами, трояны-дропперы — это инструменты распространения вредоносного программного обеспечения. Их основная задача — незаметно для пользователя установить на его устройство других зловредов (не обязательно одного). Разберемся, как они это делают, на примере NullMixer.

Этот дроппер распространяется через сайты, обещающие пользователям возможность загрузить пиратское ПО и кряки (так называют приложения для взлома защиты легальных программ). Разработчики зловреда достаточно умело используют инструменты оптимизации поиска. По запросам типа cracked software (взломанное ПО) или keygens (сленговое название генераторов лицензионных ключей) их вредоносные сайты часто оказываются на первых строках поиска.

При попытке зайти и скачать «пиратку» с такого сайта пользователя несколько раз перенаправят на новые страницы. В итоге он окажется на странице с загрузкой запароленного архива и инструкцией, как этот архив скачать и распаковать.

Архив и инструкция по скачиванию поддельного пиратского ПО

Архив и инструкция по скачиванию поддельного пиратского ПО

Хорошая новость в том, что тут не используется никаких хитрых механизмов незаметного заражения после одного лишь посещения страницы. Все шаги — от нажатия на ссылку для скачивания зловреда до его запуска — пользователю нужно выполнить самостоятельно. Если жертва заметит что-то подозрительное и остановится, с компьютером ничего не произойдет. Очевидно, распространители Nullmixer рассчитывают на ложное чувство безопасности: многие думают, что на первой строчке поиска плохого не покажут, и беззаботно прокликивают весь описанный путь до конца, в итоге устанавливая себе трояна.

Какие зловреды идут в комплекте с NullMixer

NullMixer запускает на компьютере сразу множество других зловредов, больше половины из которых — вредоносные загрузчики. То есть после запуска они тащат в вашу систему что-то еще, и скорее всего — тоже не в единственном числе. В итоге вместо искомой программы вы получаете целую пачку зловредов.

Что входит в комплект, кроме загрузчиков? Целый набор стилеров — программ, крадущих учетные данные. Самый известный из них — RedLine, который впервые попал на радары исследователей в 2020 году и с тех пор стал лидером среди программ-воров. Он крадет пароли, данные банковских карт, ключи от криптокошельков, сессионные куки, позволяющие входить в аккаунты без паролей, и переписку из мессенджеров.

Помимо загрузчиков и стилеров, жертва NullMixer получает и парочку банковских троянов, в частности DanaBot. Этот троян умеет не только красть информацию с устройства, но и внедрять на страницы интернет-магазинов и соцсетей поддельные формы, чтобы пользователи сами делились с ним данными банковских карточек. И, пожалуй, главное: DanaBot умеет предоставлять своим хозяевам полный доступ к компьютеру, то есть злоумышленники могут творить на зараженном устройстве все, что им захочется.

Наконец, есть в ассортименте NullMixer и полноценное шпионское ПО. Троян PseudoManuscrypt может воровать данные, в том числе пересылаемые через VPN, записывать аудио, делать скриншоты и снимать на видео происходящее на экране пользователя. Как настоящий шпион, он также умеет заметать за собой следы: чтобы скрыть свою активность, PseudoManuscrypt удаляет системные логи.

Как не стать жертвой киберпреступников

Как мы уже сказали в начале, скачивание пиратского ПО — это всегда рискованная затея. Поэтому традиционно рекомендуем устанавливать только лицензионные программы из официальных магазинов. Если же у вас по какой-то причине нет возможности купить лицензию по полной цене, всегда можно поискать бесплатный аналог, попользоваться некоторое время ознакомительной версией или дождаться распродажи. Вот в этом посте, например, мы рассказываем, как можно сэкономить на играх, не нарушая закон и не рискуя слить все свои деньги и аккаунты.

А чтобы ваше устройство точно было в безопасности, используйте надежное защитное решение, которое не даст зловредам проникнуть на ваш компьютер. Наши продукты успешно ловят и NullMixer, и всю ту веселую компанию, которую он приводит вместе с собой.

Советы