Der Download raubkopierter Software ist immer eine Glücksfrage: Manche Nutzer sind erfolgreich, andere eher weniger und am Ende können sie sogar mehr Geld verlieren, als eine völlig legale Lizenz kosten würde. Wir haben schon oft über verschiedene Arten von Malware gesprochen, die sich unter dem Deckmantel raubkopierter Spiele verstecken und über Torrents verbreiten. Kürzlich haben unsere Forscher eine neue Studie über den Dropper NullMixer veröffentlicht – eine weitere weit verbreitete Bedrohung, auf die Benutzer beim Download von nicht lizenzierter Software treffen können.
Was sind Trojan-Dropper wie NullMixer?
Vereinfacht ausgedrückt sind Trojan-Dropper (oder einfach nur „Dropper“) Tools zur Verbreitung von Schadsoftware. Ihr primärer Zweck besteht darin, unbemerkt andere Malware (in manchen Fällen mehrere Instanzen) auf dem Gerät des Benutzers zu installieren. Am Beispiel von NullMixer erklären wir Ihnen, wie genau sie das tun.
Der Dropper wird über Websites verbreitet, die Nutzern raubkopierte Software und Cracks (Tools zum Umgehen der Schutzmechanismen legitimer Software) versprechen. Die Entwickler der Malware nutzen dabei geschickt die Tools der Suchmaschinenoptimierung (SEO). Bei Suchanfragen wie „cracked Software“ oder „keygens“ (Slang für Key generator) erscheinen die schädlichen Websites deshalb oft unter den ersten Suchergebnissen.
Beim Versuch, raubkopierte Software von einer solchen Website herunterzuladen, wird der Benutzer auf mehrere Webseiten umgeleitet, bis er auf einer Site landet, die einen Link zu einem passwortgeschützten Archiv und Anweisungen zum Herunterladen und Entpacken desselben bereitstellt.
Die gute Nachricht ist, dass es hier keinen raffinierten Mechanismus gibt, um den Computer eines Opfers zu infizieren, indem man es lediglich dazu bringt, eine Website zu besuchen. Ganz im Gegenteil: Jeder Schritt des Prozesses – vom Öffnen des Links bis zum Download und Ausführen der Malware – muss vom Benutzer höchstpersönlich ausgeführt werden. Wenn das Opfer den Braten riecht und den Vorgang abbricht, wird sein Computer vor einer Infektion geschützt – die Entwickler von NullMixer setzen jedoch eindeutig darauf, ein falsches Gefühl der Sicherheit beim Nutzer zu erzeugen. Denn viele Menschen denken, dass auf der ersten Suchergebnisseite nur legitime Quellen erscheinen, und klicken deshalb unvorsichtigerweise auf ein Suchergebnis, über das dann der Trojaner installiert wird.
NullMixer bringt weitere Malware mit sich
NullMixer führt viele Instanzen von Malware auf einmal aus, und mehr als die Hälfte von ihnen sind Downloader schädlicher Natur. Das heißt, sobald sie gestartet werden, schleusen sie ungewünschte Dinge auf Ihr System. Das Ergebnis ist eine ganze Reihe von Malware, die nichts mit dem eigentlich gewünschten Programm zu tun hat.
Was ist außer den Downloadern noch im Paket enthalten? Eine ganze Reihe von Stealern – Programme, die es auf Anmeldedaten abgesehen haben. Das berüchtigtste dieser Programme ist RedLine, das im Jahr 2020 die Aufmerksamkeit der Forscher auf sich zog und seither zu einem der „Marktführer“ geworden ist. Es stiehlt Passwörter, Bankkartendaten, Kryptowährungsschlüssel, Sitzungscookies (die es jedem ermöglichen, sich ohne Passwörter bei Ihren Konten anzumelden) und Nachrichten aus IMs.
Neben den hier erwähnten Downloadern und Stealern erhalten Opfer von NullMixer darüber hinaus einige Banking-Trojaner, vor allem DanaBot. Dieser Trojaner stiehlt nicht nur Informationen vom Gerät, sondern kann Fake-Formulare in Online-Shops oder auf sozialen Netzwerken einfügen, sodass die Opfer selbst ihre Bankkartendaten mit ihm teilen. Am wichtigsten ist vielleicht, dass DanaBot seinen Entwicklern vollen Zugriff auf das infizierte Gerät verschaffen kann und die Angreifer ihr Unwesen dann ohne jegliche Scheu treiben können.
Zu guter Letzt enthält das NullMixer-Sortiment auch vollwertige Spyware. Der Trojaner PseudoManuscrypt kann Benutzerdaten entwenden (auch wenn sie über ein VPN gesendet werden) und Screenshots, Audio- und Bildschirmaufnahmen erstellen. Zudem kommt, dass er seine Spuren effektiv verwischt, denn um seine Aktivitäten zu verbergen, löscht PseudoManuscrypt die Systemprotokolle.
So schützen Sie sich vor Cyberkriminellen
Wie bereits zu Beginn erwähnt, ist der Download von raubkopierter Software immer ein riskantes Vorhaben. Daher empfehlen wir, ausschließlich lizenzierte Programme zu installieren, die aus offiziellen Quellen stammen. Sollten Sie, aus welchen Gründen auch immer, keine Vollpreislizenz erwerben können, sollten Sie immer nach anderen kostenlosen Alternativen suchen, auf Testversionen umsteigen oder auf besondere Rabatte warten. In diesem Beitrag erklären wir zum Beispiel, wie Sie bei Spielen sparen können, ohne dabei gegen das Gesetz zu verstoßen oder Ihr Geld und Ihre Konten zu gefährden.
Um sicherzustellen, dass Ihr Gerät wirklich geschützt ist, verwenden Sie eine zuverlässige Sicherheitslösung, die Malware im Zaum hält. Unsere Produkte schützen Sie effektiv vor NullMixer & Co.