Un nuevo troyano Spambot dirigido a los franceses que graba la pantalla de una víctima cuando usa sitios relacionados con el sexo, la pornografía y sitios pornográficos conocidos.
Todos hemos escuchado sobre las falsas estafas de correo electrónico de " sextortion " que le dicen a los destinatarios que han instalado un software que los graba mientras estás en sitios web para adultos. Después de un año de envío de estos correos electrónicos, muchas personas han llegado a reconocerlos como una estafa.
En un nuevo informe publicado hoy por ESET, un nuevo Spambot está a punto de hacer que las cosas sean confusas. Esto se debe a que se ha descubierto que graba tu pantalla mientras estás en sitios o páginas porno con palabras clave relacionadas con el sexo.
Spambot apunta a víctimas francesas
Este nuevo Spambot está siendo nombrado Varenyky por los investigadores de ESET que dijeron que lo descubrieron cuando vieron un aumento de las infecciones dirigidas a los usuarios franceses en mayo. Any.run también encontró este mismo troyano en junio.
"En mayo de 2019, los investigadores de ESET observaron un aumento en los datos de telemetría de ESET con respecto al malware dirigido a Francia", dijo ESET en un nuevo informe . "Después de más investigaciones, identificamos malware que distribuye varios tipos de spam. Uno de ellos está llevando a una encuesta que redirige a una promoción poco fiable de teléfonos inteligentes, mientras que el otro es una campaña de sextortion. El spam se dirige a los usuarios de Orange SA, un ISP francés "Les notificamos antes del lanzamiento de esta publicación".
El troyano spambot Varenyky se distribuye a través de correos electrónicos malspam que pretenden ser facturas o facturas. Estos correos electrónicos están redactados para tratar de convencer al usuario de que abra archivos adjuntos de Word maliciosos.
Cuando un usuario abre el archivo adjunto y habilita su contenido, una macro de Word verificará si el idioma configurado en Windows es francés (fr-FR) y, si no, no instalará ningún malware.
Por otro lado, si la computadora está configurada para ese idioma, descargará el spambot y lo ejecutará. El malware descargado también tiene una verificación de idioma, pero esta vez solo busca el idioma inglés o ruso y, si se detecta, terminará el malware con el siguiente error.
Si el malware pasa las comprobaciones de idioma, ahora se configurará para iniciarse automáticamente en la computadora de la víctima.
Una vez que se ejecute, el troyano se conectará de nuevo a su servidor de comando y control a través de Tor para obtener instrucciones sobre qué spam enviar. Estos correos electrónicos no deseados se dirigen a clientes de la empresa de telecomunicaciones francesa ISP Orange
También se conectará rutinariamente a los servidores de comando y control del malware a través de Tor, donde obtendrá comandos para ejecutar u otros programas para descargar.
Según los investigadores de ESET, han visto que este troyano tiene la capacidad de ejecutar archivos por lotes, ejecutables y comandos de PowerShell. Algunas variantes también descargarán las herramientas legítimas WebBrowserPassView y Mail PassView de NirSoft para robar las contraseñas del navegador y de la cuenta de correo electrónico, que luego se envían de vuelta al C2.
Grabar su pantalla cuando está en sitios para adultos
Hubo un tiempo en que el troyano incluía la función para monitorear su navegador web en busca de títulos de ventanas del navegador relacionados con el sexo, como sexe, xxx, o webcam, o pornhub, así como palabras relacionadas con bitcoin y hitler.
Si detecta que está navegando en una página web cuyo título contenía una de las palabras anteriores, usaría un ejecutable FFmpeg descargado para grabar su pantalla. Los videos grabados se enviarían de vuelta a su servidor de comando y control a través de un cliente Tor descargado.
No se sabe si estos videos se crearon para la curiosidad del atacante o si había planes para usarlos para correos electrónicos de distorsión contra las víctimas.
"Estos videos podrían haber sido utilizados para convencer al chantaje sexual; una práctica llamada sextortion. Se desconoce si estos videos fueron grabados por curiosidad por el autor (es) del spambot o con la intención de monetizarlos mediante sextortion".
Aunque el troyano Varenyky tenía la capacidad de grabar estos videos, ESET no ha visto indicios de que hayan sido utilizados en una campaña de sextortion contra la víctima u otros.
Fecha actualización el 2021-08-09. Fecha publicación el 2019-08-09. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil