NullMixer est largement distribué par des cybercriminels via des sites Web proposant des cracks, des keygens et des activateurs permettant de télécharger des logiciels gratuitement (et illégalement). Ces pages peu fiables représentent toujours une menace pour les utilisateurs car, au lieu de fournir des versions des logiciels conformes, elles infectent les appareils des internautes mal avisés avec des malwares. Dans la plupart des cas, ces derniers sont la cible d’adwares ou d’autres logiciels indésirables, mais NullMixer est bien plus dangereux, car il peut télécharger un grand nombre de chevaux de Troie à la fois, ce qui peut entraîner une infection de l’ensemble du réseau informatique ciblé.

L’attaque se produit généralement lorsqu’un utilisateur tente de télécharger un logiciel piraté à partir de l’un de ces sites internet. Il est alors redirigé à plusieurs reprises vers une page contenant un programme archivé protégé par un mot de passe et des instructions détaillées. En apparence, tout semble normal, comme si l’internaute était effectivement sur le point de télécharger le logiciel dont il a besoin. Cependant, en suivant les instructions, la victime exécute en fait NullMixer, qui diffuse de nombreux fichiers malveillants sur l’ordinateur infecté, comme des téléchargeurs, des spywares, des portes dérobées ou encore des malwares bancaires, entre autres menaces.

En essayant d’installer le logiciel souhaité, l’utilisateur reçoit également des instructions de téléchargement détaillées.

Parmi les familles de menaces diffusées via NullMixer, on retrouve le tristement célèbre RedLine Stealer, qui traque les données bancaires et les portefeuilles de crypto-monnaies enregistrées sur les machines infectées, ainsi que Disbuk, également connu sous le nom de Socelar. En détournant les cookies déposés sur Facebook et Amazon avec Disbuk, les hackeurs peuvent accéder aux différents comptes personnels de la victime liés à ces sites, en recueillant leurs identifiants, leur adresse et même leurs informations de paiement.

Fait curieux, les cybercriminels ont eu recours à des outils de référencement professionnels pour se maintenir dans les premiers résultats affichés par les moteurs de recherche, de manière à être facilement trouvés lors de la recherche de « cracks » et de « keygens » sur Internet, ce qui leur permet de cibler un maximum d’internautes.

Les premiers résultats de la recherche Google pour « crack software » contiennent des sites web malveillants diffusant NullMixer

Depuis le début de l’année, les solutions de sécurité Kaspersky ont bloqué des tentatives d’infection ayant ciblé plus de 47 500 utilisateurs dans le monde. Parmi les pays les plus concernés figurent le Brésil, l’Inde, la Russie, l’Italie, l’Allemagne, la France, l’Égypte, la Turquie et les États-Unis.

La géographie des attaques NullMixer

« Quand on télécharge des fichiers à partir de ressources non fiables, on joue à la roulette : on ne sait jamais à quelle menace nous allons faire face, ni quand cette dernière va se déclencher. Avec NullMixer, les utilisateurs se retrouvent confrontés à plusieurs menaces à la fois. Toutes les informations que vous tapez sur votre clavier seront à la disposition des agents malveillants. Cela comprend aussi bien les messages que vous écrivez à vos amis sur Facebook que l’adresse que vous utilisez pour commander sur Amazon, en passant par les logins et mots de passe de votre appareil et de vos comptes de crypto-monnaies, tout comme vos données de carte de crédit. Par conséquent, avec Nullmixer, c’est l’ensemble des données contenues dans l’appareil infecté qui se retrouvent dans les mains des cybercriminels. Gardez cela à l’esprit lorsque vous décidez de télécharger quelque chose depuis un site inconnu, car cette menace peut être évitée en tâchant d’utiliser uniquement des produits sous licence et des solutions de sécurité fiable », commente Haim Zigel, chercheur en sécurité chez Kaspersky.

Pour en savoir plus sur NullMixer, consultez le rapport complet sur Securelist.

Pour se protéger contre les menaces comme NullMixer, Kaspersky recommande de :

– Utilisez seulement des sources fiables pour télécharger des logiciels. Les logiciels malveillants et les applications indésirables sont souvent distribués par des ressources tierces, où personne ne vérifie leur niveau de sécurité, comme le font les boutiques en ligne officielles.

– Ne téléchargez pas de logiciels piratés ou tout autre contenu illégal, même si vous y êtes redirigé depuis un site Web légitime.

– Une bonne habitude à prendre consiste à vérifier régulièrement vos comptes en ligne, pour surveiller les transactions opérées depuis vos comptes. Même en faisant preuve de prudence sur internet, des logiciels espions téléchargés peuvent collecter des informations lors de leur saisie sur des sites Web pourtant sûrs. Les logiciels espions fonctionnent comme une caméra de surveillance permettant à un utilisateur malveillant de voir chaque action effectuée sur l’ordinateur infecté. La victime n’est généralement pas consciente de la présence du logiciel malveillant sur son appareil, et continue à rentrer ses informations personnelles sur des sites bancaires sécurisés.

– Utilisez une solution de sécurité fiable. Avec la navigation privée, notamment incluse dans Kaspersky Plus, vous pouvez surfer sur internet sans être traqué, et vous protéger des menaces.