troyanos
Descargar software pirateado es como jugar a la lotería: algunos tienen suerte y otros no tanta. Si el usuario no tiene suerte, puede perder mucho más dinero del que hubiera pagado por una licencia. Ya hemos hablado mucho sobre los diferentes tipos de malware que se hacen pasar por juegos piratas y que se propagan a través de torrents. Y, recientemente, nuestros investigadores publicaron un nuevo estudio sobre el dropper NullMixer, otra amenaza generalizada con la que los usuarios se pueden encontrar al descargar software sin licencia.
¿Qué son los troyanos droppers como, por ejemplo, NullMixer?
En pocas palabras, los troyanos droppers (o solamente “droppers”) son herramientas para distribuir software malicioso. Su objetivo principal es instalar otro malware (en algunos casos, varias instancias) de forma silenciosa en el dispositivo del usuario. Como ejemplo, veamos cómo lo hacen con NullMixer.
Este dropper se distribuye a través de páginas web que prometen a los usuarios software pirata y cracks (herramientas que sirven para traspasar la protección de un software legítimo). Los desarrolladores de malware utilizan de forma inteligente las herramientas de optimización en motores de búsqueda (SEO, del inglés Search Engine Optimization) haciendo aparecer sus sitios maliciosos en la parte superior de los resultados de las búsquedas de usuarios que realizan consultas como “software descifrado” o “keygens” (jerga para denominar a los generadores de claves).
Al tratar de descargar software pirata desde un sitio como este, se redirige al usuario varias veces hasta que llega a una página web determinada. En esta página, se encuentra un enlace a un archivo protegido mediante una contraseña junto a una serie de instrucciones sobre cómo descargarlo y descomprimirlo.
Archivo e instrucciones para descargar software pirata falso.
La buena noticia es que, en este caso, no existen mecanismos engañosos para infectar el ordenador de la víctima simplemente al visitar la página web. Todos los pasos, desde hacer clic en el enlace hasta descargar el malware y finalmente ejecutarlo, deben ser completados por los propios usuarios. Si una víctima en potencia empieza a sospechar y detiene el proceso, no le pasará nada a su ordenador. Los distribuidores de Nullmixer esperan crear una falsa sensación de seguridad, ya que muchos usuarios creen que no puede aparecer ninguna web maliciosa en la primera página de los resultados de búsqueda, por lo que hacen clic en ella sin pensárselo dos veces y terminan instalando un troyano.
¿Qué malware viene con NullMixer
NullMixer ejecuta muchas instancias de malware al mismo tiempo y, más de la mitad de ellas son downloaders maliciosos. Es decir, una vez iniciados, introducen alguna otra cosa (o, mejor dicho, cosas) en el sistema. Al final, en lugar del programa deseado, se descarga una gran cantidad de malware.
¿Qué más viene en el paquete junto a los downloaders? Todo un conjunto de programas ladrones de contraseñas que van en busca de los datos de inicio de sesión. El más cruel de todos estos es RedLine, que fue descubierto por los investigadores en 2020 y, desde entonces, se ha convertido en “líder del mercado”. Roba contraseñas, datos de las tarjetas bancarias, claves de monederos de criptomonedas, cookies de sesión (las que permiten que cualquier persona inicie sesión en las cuentas sin necesidad de introducir contraseñas) y conversaciones de mensajería instantánea.
Además de los downloaders y los stealers o ladrones de contraseñas, las víctimas de NullMixer obtienen un par de troyanos bancarios, entre los que se encuentra DanaBot. Este no solo roba información del dispositivo, sino que puede introducir falsos formularios en tiendas online o páginas de redes sociales haciendo que las propias víctimas le faciliten los datos de sus tarjetas bancarias. Quizá lo más importante sobre DanaBot es que puede proporcionar a sus propietarios acceso total al dispositivo infectado, lo que permite a los atacantes hacer lo que quieran.
Y, por último, pero no menos importante, el surtido de NullMixer también incluye un completo spyware. El troyano PseudoManuscrypt puede robar los datos del usuario (incluso cuando se envía a través de una VPN), hacer capturas de pantalla y grabar audios y vídeos de la pantalla. También es capaz de ocultar sus huellas, como buen espía: para ocultar su actividad, PseudoManuscrypt elimina los registros del sistema.
¿Cómo evitar ser víctima de los ciberdelincuentes?
Como mencionamos al principio, descargar software pirata siempre es una aventura arriesgada. Por ello, como siempre, recomendamos instalar solamente programas con licencia y descargarlos desde fuentes oficiales. Si, por alguna razón, no puedes comprar una licencia completa, puedes buscar una alternativa gratuita, usar su versión de prueba durante un tiempo limitado o esperar a que haya alguna oferta o descuento. Por ejemplo, en este post te explicamos cómo ahorrar en juegos sin infringir la ley ni arriesgar tu dinero o tus cuentas.
Para asegurarte de que tu dispositivo está realmente seguro, usa una solución de seguridad de confianza que mantenga el malware a raya. Nuestros productos capturan con éxito a NullMixer y a todos los amigos que trae consigo.
