Un dangereux spambot capture l’écran de victimes françaises quand elles regardent du contenu à connotation sexuelle en ligne
Publié le 08/08/2019 Dans Press Releases  Par zion
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, le août 2019 – Des chercheurs d’ESET ont découvert des campagnes de spam qui propagent des logiciels malveillants et ciblent des personnes. La charge malveillantes, dénommée Varenyky par l’équipe d’ESET, implique pas mal de fonctionnalités dangereuses. Varenyky ne propage pas que du spam mais peut également voler des mots de passe et espionner les écrans de ses victimes lorsqu’elles regardent du contenu de nature sexuelle en ligne.

Pour ce bot, le premier pic de télémétrie ESET se situe en mai 2019 et après des recherches approfondies, les chercheurs ont identifié le logiciel malveillant spécifique utilisé pour propager ce spam. « Nous pensons que le spambot est en plein développement car il a beaucoup évolué depuis la première fois que nous l’avons vu. Comme d’habitude, nous conseillons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que les logiciels système et de sécurité sont mis à jour, » explique Alexis Dorais-Joncas, responsable du centre R&D d’ESET à Montréal .

Pour atteindre leur but, les opérateurs du spam Varenyky utilisent une fausse facture malveillante en pièce jointe, qui incite les victimes à faire une ‘vérification humaine’ du document . Ensuite, le logiciel espion exécute la charge malveillante. Apparemment, Varenyky ne cible que les utilisateurs francophones en France. La qualité de la langue utilisée est très bonne, ce qui indique que les opérateurs parlent couramment le français.

Après la contamination, Varenyky exécute le logiciel Tor, qui permet une communication anonyme avec le serveur de commande et de contrôle. A partir de ce moment-là, l’activité criminelle fonctionne à pleine puissance. « Cela démarre de deux façons : l’une est responsable pour la propagation du spam et l’autre peut exécuter sur l’ordinateur les missions venant du serveur de commande et de contrôle, » ajoute Dorais-Joncas. « Ici, un des aspects les plus dangereux est la recherche, dans les applis exécutées sur le système de la victime, de mots clefs spécifiques tels que bitcoin ainsi que des mots liés à la pornographie. Lorsqu’il trouve de tels mots, Varenyky fait une capture d’écran et celle-ci et ensuite transmise au serveur C&C, » comment Dorais-Joncas.

Dans le passé, nous avons vu de fausses campagnes de sextorsion, mais les capacités actuelles pourraient certainement mener à de véritables campagnes de sextorsion. Alors qu’au début les opérateurs de Varenyky n’utilisaient pas cette approche, ils l’utilisent depuis la fin juillet. De plus, les cybercriminels comptent sur le bitcoin pour monétiser leurs méfaits.

“Une autre fonctionnalité remarquable est que Varenyky peut voler des mots de passe en utilisant une appli que nous considérons comme potentiellement dangereuse, » dit Dorais-Joncas. D’autres commandes permettent à l’attaquant de lire des textes ou de faire des captures d’écran.

Les spams envoyés par le bot attirent les victimes vers de fausses promotions pour smartphones. Leur seul but est le hameçonnage d’informations personnelles (informations bancaires par exemple). Un seul bot peut envoyer jusqu’à 1.500 mails par heure. Il est intéressant de savoir que nous avons observé que les cibles de tous ces spams sont des utilisateurs d’Orange S.A., le fournisseur français d’internet.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Publicité
Informaticien.be  - © 2002-2019 Akretio SPRL  - Generated via Kelare - Hosted by Verixi Internet Services
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?