Crean un virus de sextorsi¨®n que graba a quienes ven pornograf¨ªa online

Un Spambot es un software dise?ado para ayudar a un cibercriminal en el env¨ªo de correos y mensajes SPAM. Generalmente, los Spambots crean cuentas y env¨ªan mensajes de spam al mismo tiempo, y uno de estos es el que est¨¢ siendo usando en Francia en una campa?a bastante viruletan que ha sido detectada por los expertos de la compa?¨ªa ESET. Una campa?a centrada en la Sextorsi¨®n de usuarios a trav¨¦s de un malware llamado Varenyky.

Grabar a alguien que est¨¢ viendo pornograf¨ªa

Seg¨²n ESET, en mayo se dio ¡°un aumento de la actividad de malware dirigido a Francia¡±, identificando diferentes tipos de spam. Uno de estas campa?as de spam est¨¢ llevando a las personas a una encuesta que redirige a una promoci¨®n de smartphones poco cre¨ªble, mientras que la otra est¨¢ llevando adelante una campa?a de sextorsi¨®n. El spam est¨¢ dirigido a usuarios de Orange SA, un ISP franc¨¦s.

Lo m¨¢s curioso de este spambot, de nombre Varenyky, es su capacidad para robar contrase?as y espiar la pantalla de sus v¨ªctimas utilizando FFmpeg cuando ven contenido pornogr¨¢fico en l¨ªnea, y el hecho de que su comunicaci¨®n con el servidor de C&C se realice a trav¨¦s de Tor; mientras que el spam se env¨ªa como tr¨¢fico regular de Internet. Una de sus caracter¨ªsticas m¨¢s significativas es una funci¨®n por la que el malware escanea el t¨ªtulo de las ventanas abiertas en el PC. Y si encuentra una de las palabras clave en franc¨¦s relacionada con pornograf¨ªa -por ejemplo ¡®sperm¡¯, ¡®anal¡¯, ¡®lesbo¡¯, ¡®fellation¡¯ y nombres de webs como ¡®Youporn¡¯ o ¡®Brazzers¡¯- o la palabra ¡°bitcoin¡± en el t¨ªtulo de una ventana, lo env¨ªa a su servidor C&C.

Sextorsi¨®n

Seg¨²n ESET, esta caracter¨ªstica ¡°se modific¨® m¨¢s tarde para que, al encontrar la palabra ¡°sexe¡±¡±, el malware grabara la pantalla de la computadora. Lo peor es que estos videos pueden haber sido utilizados para realizar un chantaje sexual a cambio de remuneraci¨®n econ¨®mica conocido como Sextorsi¨®n: si me pagas, no publicar¨¦ este material en la Red. Se desconoce si estos videos fueron grabados por curiosidad del autor/autores del spambot o con la intenci¨®n de monetizarlos a trav¨¦s de la sextorsi¨®n. Las diferentes versiones de este malware utilizaron diferentes strings para identificarse frente al servidor de C&C.

Ampliar

La compa?¨ªa muestra un email de sextorsi¨®n de Varenyky y sus autores en el que informan a la v¨ªctima que han tenido acceso a su ordenador, que han copiado listas de contactos, im¨¢genes, contrase?as, datos bancarios y dem¨¢s. Y hasta han grabado un v¨ªdeo en el que se muestra la grabaci¨®n de la c¨¢mara web del equipo del usuario hackeado y lo que estaba viendo en el escritorio, supuestamente un v¨ªdeo para adultos. Pero todo ese material ser¨¢ liberado / borrado a cambio de un rescate en Bitcoin de 750 euros. Si no pagas en 72 horas, enviaran el v¨ªdeo a tu familia, amigos y lo subir¨¢n a Facebook.

El correo electr¨®nico termina con ¡°Esta oferta no es negociable, no pierda su tiempo ni me haga perder el m¨ªo, piense en las consecuencias de sus acciones¡±. Seg¨²n ESET, ¡°Todas las direcciones de correo que, seg¨²n hemos visto, fueron blancos de este ataque est¨¢n en los dominios wanadoo.fr y orange.fr; ambos son operados por el ISP franc¨¦s de Orange S.A. Un solo bot puede enviar hasta 1500 correos electr¨®nicos por hora¡±.

Aunque lo m¨¢s llamativo es que ¡°En el momento de la publicaci¨®n de este art¨ªculo, la direcci¨®n de bitcoin incluida en el correo fraudulento recibi¨® siete pagos¡±.