;
Maison / Tech / Le programme malveillant Varenyky enregistre de la pornographie à l'écran et distribue du spam de sextorsion

Le programme malveillant Varenyky enregistre de la pornographie à l'écran et distribue du spam de sextorsion

Une opération cybercriminelle dirigée contre la France depuis mai tente de diffuser des logiciels malveillants capables d’enregistrer les écrans des victimes visitant des sites pornographiques.

Dans d’autres cas, le logiciel malveillant envoie des spams dont le but est simplement de tour Les victimes croient que leurs sessions Web ont été enregistrées tout en regardant du porno, même si ce n'était pas le cas. Cette fonctionnalité spambot a également été utilisée pour envoyer des sondages sommaires et des promotions conçues pour inciter les victimes à saisir leurs informations personnelles et celles de leurs cartes de crédit.

Surnommé Varenyky, le programme malveillant peut également déployer et abuser des outils de récupération de mot de passe WebBrowserPassView et Mail PassView de NirSoft pour les navigateurs Web et les clients de messagerie afin de dérober les mots de passe des victimes. Varenyky a déjà été référencé sur Twitter par le service d'analyse de logiciels malveillants. ANY.RUN. Mais la semaine dernière, des chercheurs de ESET publié un article de blog cela a fourni plus de détails sur la menace.

«Ce spambot n’est pas très avancé, mais le contexte et l’histoire qui l’entoure le rend intéressant», déclare le blog ESET. «De nombreuses fonctions ont été ajoutées, puis rapidement supprimées dans de nombreuses versions différentes en peu de temps (deux mois). Cela montre que les opérateurs travaillent activement sur leur botnet et sont enclins à expérimenter de nouvelles fonctionnalités qui pourraient apporter une meilleure monétisation de leur travail. ”

Selon ESET, Varenyky est actuellement distribué dans des campagnes de phishing par courrier électronique comportant des documents Word intégrés à des macros malveillantes. Les macros remplissent deux fonctions: vérifier l’ID de la langue d’un ordinateur pour cibler spécifiquement les victimes en France, puis télécharger et exécuter le programme malveillant. En cas d'infection réussie, le spambot communique avec son serveur de commande et contrôle via Tor.

Les premières versions du logiciel malveillant étaient en mesure d'analyser les titres des fenêtres ouvertes sur l'ordinateur à la recherche de mots liés à la pornographie ou au bitcoin, puis de les envoyer au serveur C2. Les développeurs de Varenyky ont par la suite amélioré cette fonctionnalité pour enregistrer l'écran de l'ordinateur à l'aide d'un responsable FFmpeg, chaque fois que le logiciel malveillant détectait le mot «sexe». Le logiciel malveillant téléchargerait ensuite la vidéo sur le serveur C2.

"On ignore si ces vidéos ont été enregistrées par curiosité par le ou les auteurs du spambot ou dans l’intention de les monétiser par sextors", indique le blog ESET. Les chercheurs estiment toutefois que les assaillants «n’ont pas encore tiré parti de ces [videos] autant que nous pouvons dire. "

Les assaillants derrière Varenyky ont effectivement lancé une campagne de sextorsion le 22 juillet, bien qu’elle n’ait impliqué aucun enregistrement secret de contenu pornographique. Au lieu de cela, le spambot a envoyé une version française d'un courrier électronique commun sur le sextorsion vu depuis l'année dernière, qui prétend à tort que la victime a été filmée en train de regarder du matériel pornographique. Dans cette menace par courrier électronique, les assaillants menacent de partager une vidéo embarrassante de la victime et du contenu pornographique qu'il aurait soi-disant visionné avec plusieurs de ses contacts.

Mais ce n’est que l’une des multiples campagnes de spam lancées par les attaquants. Varenyky envoie des spams via le protocole SMTP via le port 25, en ciblant plus particulièrement les clients du fournisseur de services Internet français Orange S.A. «Les serveurs de messagerie utilisés pour relayer les spams n’apparaissent pas comme appartenant à des acteurs malveillants; ils ressemblent à des serveurs qui n’ont pas été correctement sécurisés et ne nécessitent pas d’authentification », explique ESET dans son rapport.

Les messages de spam sont généralement conçus pour persuader les destinataires de cliquer sur un lien ou d'ouvrir une pièce jointe. Dans certains cas, cela a conduit les destinataires de spam à mener une enquête frauduleuse et à obtenir une promotion les encourageant à saisir leurs informations personnelles et leurs données de carte de crédit. Ceux qui le font plus tard risquent de se retrouver confrontés à des frais mensuels auxquels ils ne se sont jamais inscrits.

Les développeurs de Varenyky continuent à faire évoluer leur produit, ajoutant récemment une commande malveillante pour la création de bureaux cachés sur des ordinateurs. «Les logiciels malveillants peuvent être dirigés vers diverses applications dotées d’une interface graphique, telles que les navigateurs Web et la boîte de dialogue Exécuter Windows sur ce bureau invisible», indique ESET. «Il est capable d’accomplir diverses tâches, telles que la navigation dans les menus, la lecture de texte, la prise de captures d’écran, le clic sur l’écran et la réduction, la restauration et la maximisation des fenêtres.»

Source

A propos Pratik

Découvrez également

L’usine allemande de Tesla produira 500 000 voitures par an, déclare Bild

admin 3 minutes ago Industrie 5 Views …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *