Nebezpečný francouzský spambot nahrává oběti při sledování stránek pro dospělé

12. 9. 2019

Sdílet

Zatímco v České republice útočníci uživatele pouze vydírali, ve Francii navrhli malware, který skutečně natáčí inkriminující video svých obětí a krade citlivé údaje, zjistil Eset.


Výzkumný tým společnosti Eset odhalil spamovou kampaň, v rámci které útočníci distribuovali malware ve Francii. Vlastní škodlivý kód označený jako Varenyky má několik nebezpečných funkcí. Mezi jinými může být zneužitý k rozesílání spamu, dokáže odcizit hesla nebo nahrávat obrazovku oběti při prohlížení stránek týkajících se pornografie či kryptoměny bitcoin.

„Varenyky je škodlivý kód distribuovaný pomocí spamové kampaně v podobě falešné faktury za zboží, kterou má uživatel údajně ověřit. Malware disponuje řadou nebezpečných funkcí, počínaje možností stáhnout a spustit další malware, komunikací s řídícím server pomocí sítě TOR a konče třeba schopností spamovat, krást hesla nebo nahrávat dění na obrazovce,“ říká Miroslav Dvořák, technický ředitel pražské pobočky společnosti Eset. „To, co je na Varenyky neobvyklé, je skutečnost, že si pro svoji nekalou činnost vybírá právě a pouze jen francouzsky mluvící uživatele a to navíc pouze pokud mají ve svém operačním systému nastavenu jako domovskou zemi Francii,“ dodává Dvořák. 

„Vyděračské kampaně, které požadují za nezveřejnění údajné nahrávky ze sledování stránek se sexuální tématikou, známe dobře i z České republiky. V tomto případě však skutečně nahrávka vzniká a operátoři Varenyky by ji mohli k vydírání zneužít. To se zatím nestalo a důvod proč k nahrávání dochází, tak není zcela zřejmý,“ vysvětluje Dvořák.

„Nicméně shodou okolností od 22. července začal Varenyky rozesílat nový druh spamu obsahující i z Čech známou a výše zmíněnou podvodnou vyděračskou kampaň. Jejím cílem jsou uživatelé domén wanadoo.fr a orange.fr. Vyděrači v ní požadují za nezveřejnění údajné nahrávky sledování pornostránek platbu v bitcoinech odpovídající částce 750 eur, tedy bezmála 20 tisíc korun,“ dodává Dvořák.

Rozmach činnosti nového spamovacího bota se v telemetrii společnosti Eeset objevil v květnu 2019. Při následném zkoumání jeho činnosti zjistili výzkumní pracovníci, že jde o projev činnosti malware pojmenovaného Varenyky. K prvotní infiltraci použili jeho tvůrci notnou dávku sociálního inženýrství v podobě e-mailu s přílohou, kterou tvoří infikovaný wordovský dokument předstírající fakturu za zboží a útočníci žádají jeho verifikaci. Dokument po otevření manipuluje uživatelem tak, aby povolením maker a úprav v dokumentu spustil tzv. downloader, který stáhne vlastní škodlivý kód.

Kampaň Varenyky cílila výhradně na francouzsky hovořící uživatele ve Francii. Z analýz použitých textů, resp. velmi dobré úrovně gramatiky a znalosti jazyka, lze usuzovat, že nejde o strojový překlad, ale útočníci mluví nejspíše plynně francouzsky.

„Jakmile Varenyky infikuje zařízení, dojde k jeho spuštění. Jedno z vláken jeho procesu má za úkol rozesílat spam a to druhé plnit příkazy z kontrolního serveru,“ říká Alexis Dorais-Joncas, vedoucí výzkumného centra Eset v Montrealu. „Jeden z nejnebezpečnějších aspektů je, že malware vyhledává ve spuštěných aplikacích klíčová slova jako bitcoin či slova spojená s pornografií. Pokud nalezne některé z těchto klíčových slov, začne program nahrávat dění na obrazovce a posléze nahrávku odešle na kontrolní server,“ popisuje.

bitcoin_skoleni

Spam, resp. phishing, který malware Varenyky od května rozesílal, měl podobu reklamní nabídky ke koupi chytrého telefonu a cílil opět pouze na francouzské uživatele společnosti Orange S.A. Cílem této kampaně byla snaha získat osobní údaje a informace o platebních kartách. Jediný takovýto bot dokázal rozeslat až 1 500 e-mailů za hodinu.

„Další pozoruhodnou funkcí tohoto malware je schopnost odcizit uživateli hesla uložená ve webovém prohlížeči nebo poštovním klientovi. Zneužívá k tomu aplikace, které mají sloužit k obnově zapomenutých hesel. Z tohoto důvodu je také Eset klasifikuje jako potenciálně nebezpečné,“ říká Dorais-Joncas.