Los expertos en seguridad de Cisco Talos han descubierto dos campañas de estafas de sextorción recientes que parecen aprovechar la infraestructura de la red de bots Necurs
Expertos de Cisco Talos analizaron las dos campañas, una de ellas comenzó el 30 de agosto, la otra el 5 de octubre, los investigadores las denominaron estafas de extorsión "Aaron Smith" después del "encabezado De: de los mensajes".
Los atacantes utilizan datos de numerosas violaciones de datos para llevar a cabo sus campañas. En octubre, los investigadores de Cybaze ZLab detectaron una campaña fraudulenta dirigida a algunos de sus clientes italianos, los delincuentes aprovechan las credenciales en el archivo de recopilación de datos de Breach.
Los delincuentes utilizan direcciones de correo electrónico y contraseñas descifradas obtenidas a través de ataques de suplantación de identidad (phishing) y violaciones de datos para enviar correos electrónicos fraudulentos a posibles víctimas que pretenden estar en posesión de videos que los muestran mientras ven videos explícitos.
Los expertos de Cisco Talos informaron que las campañas de Aaron Smith enviaron un total de 233,236 correos electrónicos de publicación desde 137,606 direcciones IP únicas.
"Talos extrajo todos los mensajes de estas dos campañas de sextorción que recibió SpamCop desde el 30 de agosto de 2018 hasta el 26 de octubre de 2018 - 58 días de spam", dice el análisis publicado por Talos.
“Cada mensaje enviado como parte de estas dos campañas de sextorción contiene un encabezado De: que coincide con una de las siguientes dos expresiones regulares: Desde = ~ / Aaron \d {3 }Smith@ yahoo\.jp/ Desde = ~ / Aaron@ Smith \d {3 }\.edu/ "
En total, SpamCop recibió 233,236 correos electrónicos de sextortion relacionados con estas campañas de sextortion de "Aaron Smith". Los mensajes fueron transmitidos desde 137,606 direcciones IP únicas. La gran mayoría de las direcciones IP de envío, 120,659 IP de remitentes (87.7 por ciento), enviaron dos o menos mensajes como parte de esta campaña. "
Los principales países que envían correos electrónicos de sextortion incluyen Vietnam (15,9%), Rusia (15,7%), India (8,5%), Indonesia (4,9%) y Kazajstán (4,7%).
Según Talos, el número de direcciones de correo electrónico distintas en las campañas fue de 15.826, y cada receptor recibió en promedio 15 mensajes de extorsión. En solo un caso, un destinatario recibió 354 mensajes.
Cada mensaje de correo no deseado incluye una demanda de pago que varía aleatoriamente desde $ 1,000 hasta $ 7,000.
"Estos seis diferentes montos de pago aparecen con una frecuencia casi idéntica en todo el conjunto de correos electrónicos, lo que sugiere que los atacantes no hicieron ningún esfuerzo para adaptar sus demandas de pago a las víctimas individuales", continúa Talos.
Los investigadores descubrieron que alrededor de 1,000 direcciones IP de envío utilizadas en las campañas de Aaron Smith también participaron en otra campaña de sextortion analizada por expertos de IBM X-Force en septiembre y que también aprovecharon la red de bots Necurs .
Las campañas permitieron a los delincuentes ganar un total de 23.3653711 bitcoins (aproximadamente $ 146,380.31), los bitcoins se distribuyeron en 58,611 direcciones únicas de billetera de bitcoin.
Solo 83 de estas carteras tenían saldos activos, en algunos casos las carteras recibieron pagos menores a $ 1,000, una circunstancia que sugiere que se usaron en otras campañas de spam.
“La mayoría de las soluciones antispam filtrarán los intentos obvios de sextortion como los que destacamos en esta publicación. Sin embargo, eso no es una bala de plata. Cuando este tipo de campañas de spam llegan a las bandejas de entrada de los usuarios, muchas de ellas pueden no ser lo suficientemente educadas para identificar que se trata de una estafa diseñada para hacer que entreguen sus bitcoins ", concluye Talos.
"Desafortunadamente, se desprende de la gran cantidad de bitcoin que estos actores aseguraron que todavía hay un largo camino por recorrer para educar a las posibles víctimas".
Fecha actualización el 2021-11-02. Fecha publicación el 2018-11-02. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: securityaffairs