Titre: Des utilisateurs envoient à leur insu des courriels de “sextorsion” à 27 millions d’autres personnes (16/10/2019 Par zion)
Le 16 octobre 2019

Zaventem - Les chercheurs de Check Point, leader mondial en matière de cyber-sécurité, ont découvert la manière dont des campagnes de “sextorsion” sont déployées. Une “sextorsion” désigne le fait pour quelqu’un de recevoir un courrier exigeant le paiement d’un chantage, en le menaçant de révéler des contenus sexuels généralement collectés par le biais de sa propre webcam. Un projet de recherche ayant duré cinq mois a permis aux chercheurs de Check Point de démasquer un très important maliciel “normal” qui utilise les victimes qu’il a infectées afin d’envoyer, à leur insu, des courriels de sextorsion à un grand nombre de personnes, de manière automatisée. La vitesse et le volume de courriels ainsi générés sont tout simplement stupéfiants.

Le maliciel incriminé porte le nom de Phorpiex. Actif depuis environ une dizaine d’années, Phorpiex infecte plus de 450.000 hôtes - et ce nombre connaît une progression rapide. Par le passé, Phorpiex générait des revenus essentiellement en distribuant plusieurs autres familles de maliciels et utilisait ses hôtes pour procéder à du minage de crypto-monnaies. Récemment toutefois, on constate que Phorpiex a ajouté une nouvelle forme de création de revenus à son attirail, à savoir un bot à pourriels qui est utilisé pour déployer les campagnes de sextorsion les plus étendues que nous ayons jamais rencontrées.

Le comment
Phorpiex utilise un bot à pourriels qui télécharge une base de données d’adresses courriel à partir d’un serveur C&C. Une adresse de courriel est ensuite sélectionnée de manière aléatoire à partir de la base de données téléchargée et un message est composé au départ de plusieurs chaînes de caractères codées en dur. Le bot à pourriels peut produire un nombre astronomique de courriels de sextorsion: le bot à pourriels génère un total de 15.000 fils destinés à envoyer des messages pourriels à partir d’une base de données. Chaque fil choisit au hasard une ligne dans le fichier téléchargé. Le fichier suivant est téléchargé lorsque tous les fils de pourriels ont été épuisés. Si l’on tient compte du temps nécessaire à l’opération, on peut estimer que le bot est capable d’envoyer environ 30.000 courriels par heure. Chacune des campagnes de sextorsions peut toucher jusqu’à 27 millions de victimes potentielles.

Phorpiex utilise des bases de données contenant des mots de passe dérobés et les combine avec des adresses de courriel. Le mot de passe d’une victime figure généralement dans le courriel afin de lui donner davantage de pouvoir de persuasion en indiquant à la victime que son mot de passe est connu du pirate. Les courriels utilisés dans le cadre de cette attaque commencent par le mot de passe afin d’ébranler la victime. La capture d’écran ci-dessous est l’un des exemples de ce que nous avons trouvé:

Pour l’envoi des courriels, Phorpiex recourt à une simple implémentation du protocole SMTP. Il induit l’adresse d’un serveur SMTP au départ du nom de domaine d’une adresse courriel. Après avoir établi une connexion vers le serveur SMTP et avoir reçu un message d’invitation, le bot à pourriels envoie un message avec sa propre adresse IP externe.

Des porte-monnaies bitcoin utilisés pour collecter les gains
Pendant les cinq mois qu’ont duré son exercice d’observation et ses recherches, Check Point a enregistré des transferts de plus de 11 BTC vers des porte-monnaies de sextorsion Phorpiex. Il est probable que les fonds réellement récoltés soient plus importants dans la mesure où Check Point n’a pas étudié les campagnes de sextorsion des années antérieures.
Retour