Crean un virus de sextorsión que graba a quienes ven pornografía online
Varenyky es un malware que saca capturas si estás viendo contenido para adultos en el ordenador.
Un Spambot es un software diseñado para ayudar a un cibercriminal en el envío de correos y mensajes SPAM. Generalmente, los Spambots crean cuentas y envían mensajes de spam al mismo tiempo, y uno de estos es el que está siendo usando en Francia en una campaña bastante viruletan que ha sido detectada por los expertos de la compañía ESET. Una campaña centrada en la Sextorsión de usuarios a través de un malware llamado Varenyky.
Grabar a alguien que está viendo pornografía
Según ESET, en mayo se dio “un aumento de la actividad de malware dirigido a Francia”, identificando diferentes tipos de spam. Uno de estas campañas de spam está llevando a las personas a una encuesta que redirige a una promoción de smartphones poco creíble, mientras que la otra está llevando adelante una campaña de sextorsión. El spam está dirigido a usuarios de Orange SA, un ISP francés.
Lo más curioso de este spambot, de nombre Varenyky, es su capacidad para robar contraseñas y espiar la pantalla de sus víctimas utilizando FFmpeg cuando ven contenido pornográfico en línea, y el hecho de que su comunicación con el servidor de C&C se realice a través de Tor; mientras que el spam se envía como tráfico regular de Internet. Una de sus características más significativas es una función por la que el malware escanea el título de las ventanas abiertas en el PC. Y si encuentra una de las palabras clave en francés relacionada con pornografía -por ejemplo ‘sperm’, ‘anal’, ‘lesbo’, ‘fellation’ y nombres de webs como ‘Youporn’ o ‘Brazzers’- o la palabra “bitcoin” en el título de una ventana, lo envía a su servidor C&C.
Sextorsión
Según ESET, esta característica “se modificó más tarde para que, al encontrar la palabra “sexe””, el malware grabara la pantalla de la computadora. Lo peor es que estos videos pueden haber sido utilizados para realizar un chantaje sexual a cambio de remuneración económica conocido como Sextorsión: si me pagas, no publicaré este material en la Red. Se desconoce si estos videos fueron grabados por curiosidad del autor/autores del spambot o con la intención de monetizarlos a través de la sextorsión. Las diferentes versiones de este malware utilizaron diferentes strings para identificarse frente al servidor de C&C.
La compañía muestra un email de sextorsión de Varenyky y sus autores en el que informan a la víctima que han tenido acceso a su ordenador, que han copiado listas de contactos, imágenes, contraseñas, datos bancarios y demás. Y hasta han grabado un vídeo en el que se muestra la grabación de la cámara web del equipo del usuario hackeado y lo que estaba viendo en el escritorio, supuestamente un vídeo para adultos. Pero todo ese material será liberado / borrado a cambio de un rescate en Bitcoin de 750 euros. Si no pagas en 72 horas, enviaran el vídeo a tu familia, amigos y lo subirán a Facebook.
El correo electrónico termina con “Esta oferta no es negociable, no pierda su tiempo ni me haga perder el mío, piense en las consecuencias de sus acciones”. Según ESET, “Todas las direcciones de correo que, según hemos visto, fueron blancos de este ataque están en los dominios wanadoo.fr y orange.fr; ambos son operados por el ISP francés de Orange S.A. Un solo bot puede enviar hasta 1500 correos electrónicos por hora”.
Aunque lo más llamativo es que “En el momento de la publicación de este artículo, la dirección de bitcoin incluida en el correo fraudulento recibió siete pagos”.