Des chercheurs d’ESET ont découvert des campagnes de spam
qui propagent des logiciels malveillants et ciblent des personnes. La charge
malveillantes, dénommée Varenyky par l’équipe d’ESET, implique pas mal de
fonctionnalités dangereuses. Varenyky ne propage pas que du spam mais peut
également voler des mots de passe et espionner les écrans de ses victimes
lorsqu’elles regardent du contenu de nature sexuelle en ligne.
Pour ce bot, le premier pic de télémétrie ESET se situe en mai 2019 et
après des recherches approfondies, les chercheurs ont identifié le logiciel
malveillant spécifique utilisé pour propager ce spam. « Nous pensons que
le spambot est en plein développement car il a beaucoup évolué depuis la
première fois que nous l’avons vu. Comme d’habitude, nous conseillons aux
utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources
inconnues et de s’assurer que les logiciels système et de sécurité sont mis à
jour, » explique Alexis Dorais-Joncas, responsable du centre R&D
d’ESET à Montréal .
Pour atteindre leur but, les opérateurs du spam Varenyky utilisent une
fausse facture malveillante en pièce jointe, qui incite les victimes à faire
une ‘vérification humaine’ du document . Ensuite, le logiciel espion exécute la
charge malveillante. Apparemment, Varenyky ne cible que les utilisateurs
francophones en France. La qualité de la langue utilisée est très bonne, ce qui
indique que les opérateurs parlent couramment le français.
Après la contamination, Varenyky exécute le logiciel Tor, qui permet une
communication anonyme avec le serveur de commande et de contrôle. A partir de
ce moment-là, l’activité criminelle fonctionne à pleine puissance. « Cela
démarre de deux façons : l’une est responsable pour la propagation du spam
et l’autre peut exécuter sur l’ordinateur les missions venant du serveur de
commande et de contrôle, » ajoute Dorais-Joncas. « Ici, un des
aspects les plus dangereux est la recherche, dans les applis exécutées sur le
système de la victime, de mots clefs spécifiques tels que bitcoin ainsi que des
mots liés à la pornographie. Lorsqu’il trouve de tels mots, Varenyky fait
une capture d’écran et celle-ci et ensuite transmise au serveur C&C, »
comment Dorais-Joncas.
Dans le passé, nous avons vu de fausses campagnes de sextorsion, mais les
capacités actuelles pourraient certainement mener à de véritables campagnes de
sextorsion. Alors qu’au début les opérateurs de Varenyky n’utilisaient pas
cette approche, ils l’utilisent depuis la fin juillet. De plus, les
cybercriminels comptent sur le bitcoin pour monétiser leurs méfaits.
“Une autre fonctionnalité remarquable est que Varenyky peut voler des mots
de passe en utilisant une appli que nous considérons comme potentiellement
dangereuse, » dit Dorais-Joncas. D’autres commandes permettent à
l’attaquant de lire des textes ou de faire des captures d’écran.
Les spams envoyés par le bot attirent les victimes vers de fausses
promotions pour smartphones. Leur seul but est le hameçonnage d’informations
personnelles (informations bancaires par exemple). Un seul bot peut envoyer
jusqu’à 1.500 mails par heure. Il est intéressant de savoir que nous avons
observé que les cibles de tous ces spams sont des utilisateurs d’Orange S.A.,
le fournisseur français d’internet.
Lisez, pour plus de détails, « Varenyky : spambot à la
française » sur WeLiveSecurity.com. Suivez aussi ESET research sur Twitter.