8.8.19

Un dangereux spambot capture l’écran de victimes françaises quand elles regardent du contenu à connotation sexuelle en ligne, a découvert ESET




Des chercheurs d’ESET ont découvert des campagnes de spam qui propagent des logiciels malveillants et ciblent des personnes. La charge malveillantes, dénommée Varenyky par l’équipe d’ESET, implique pas mal de fonctionnalités dangereuses. Varenyky ne propage pas que du spam mais peut également voler des mots de passe et espionner les écrans de ses victimes lorsqu’elles  regardent du contenu de nature sexuelle en ligne.

Pour ce bot, le premier pic de télémétrie ESET se situe en mai 2019 et après des recherches approfondies, les chercheurs ont identifié le logiciel malveillant spécifique utilisé pour propager ce spam. « Nous pensons que le spambot est en plein développement car il a beaucoup évolué depuis la première fois que nous l’avons vu. Comme d’habitude, nous conseillons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que les logiciels système et de sécurité sont mis à jour, » explique  Alexis Dorais-Joncas, responsable du centre R&D d’ESET à Montréal .

Pour atteindre leur but, les opérateurs du spam Varenyky utilisent une fausse facture malveillante en pièce jointe, qui incite les victimes à faire une ‘vérification humaine’ du document . Ensuite, le logiciel espion exécute la charge malveillante. Apparemment, Varenyky ne cible  que les utilisateurs francophones en France. La qualité de la langue utilisée est très bonne, ce qui indique que les opérateurs parlent couramment le français.

Après la contamination, Varenyky exécute le logiciel Tor, qui permet une communication anonyme avec le serveur de commande et de contrôle. A partir de ce moment-là, l’activité criminelle fonctionne à pleine puissance. « Cela démarre de deux façons : l’une est responsable pour la propagation du spam et l’autre peut exécuter sur l’ordinateur les missions venant du serveur de commande et de contrôle, » ajoute Dorais-Joncas. « Ici, un des aspects les plus dangereux est la recherche, dans les applis exécutées sur le système de la victime, de mots clefs spécifiques tels que bitcoin ainsi que des mots liés à la pornographie. Lorsqu’il trouve de tels mots, Varenyky  fait une capture d’écran et celle-ci et ensuite transmise au serveur C&C, » comment Dorais-Joncas.

Dans le passé, nous avons vu de fausses campagnes de sextorsion, mais les capacités actuelles pourraient certainement mener à de véritables campagnes de sextorsion. Alors qu’au début les opérateurs de Varenyky n’utilisaient pas cette approche, ils l’utilisent depuis la fin juillet. De plus, les cybercriminels comptent sur le bitcoin pour monétiser leurs méfaits.

“Une autre fonctionnalité remarquable est que Varenyky peut voler des mots de passe en utilisant une appli que nous considérons comme potentiellement dangereuse, » dit Dorais-Joncas. D’autres commandes permettent à l’attaquant de lire des textes ou de faire des captures d’écran.

Les spams envoyés par le bot attirent les victimes vers de fausses promotions pour smartphones. Leur seul but est le hameçonnage d’informations personnelles (informations bancaires par exemple). Un seul bot peut envoyer jusqu’à 1.500 mails par heure. Il est intéressant de savoir que nous avons observé que les cibles de tous ces spams sont des utilisateurs d’Orange S.A., le fournisseur français d’internet.

Lisez, pour plus de détails, « Varenyky : spambot à la française » sur WeLiveSecurity.com. Suivez aussi ESET research sur Twitter.