Rareori simți simpatie pentru un cybercriminal, dar o nouă campanie de malware care vizează agresorii de copii nu te face să te simți rău pentru victime.
De la 2012, actorii de amenințare au creat o varietate de malware și ransomware care pretind a fi agenții guvernamentali avertizând utilizatorii Windows infectați că vizionau materiale cu abuz sexual asupra copiilor. Malware-ul le spune victimelor că trebuie să plătească o „amendă” pentru a împiedica trimiterea informațiilor lor către autoritățile.
Una dintre primele operațiuni de ransomware „moderne”, numită Anti-Child Porn Spam Protection sau ACCDFISA, a folosit această tactică de șantaj combinată cu blocarea desktopurilor Windows și criptarea fișierelor în versiunile ulterioare.
Au urmat curând alte familii de malware care pretindeau a fi autorități care emit amenzi pentru vizionarea materialelor cu abuz sexual asupra copiilor, cum ar fi Harasom, Urausy și troienii Reveton.
Săptămâna trecută, cercetătorul în securitate cibernetică MalwareHunterTeam a distribuit un eșantion al unui executabil malware către BleepingComputer numit ‘CryptVPN’, folosind tactici similare de șantaj.
Cu toate acestea, de data aceasta, în loc să vizeze persoane nevinovate, dezvoltatorul de malware vizează cei care caută activ materiale pornografice cu copii.
După cercetarea malware-ului, BleepingComputer a descoperit că actorii de amenințare au creat un site web pentru a imita UsenetClub, un serviciu de abonament pentru acces „necenzurat” la imagini și videoclipuri descărcate din Usenet.
Usenet este o platformă de discuții online care le permite oamenilor să discute diverse subiecte în „grupuri de știri” la care sunt abonați. În timp ce Usenet este folosit pentru discuții valide pe o gamă largă de probleme, este și o sursă cunoscută de pornografie infantilă.
Un site fals creat de actorii de amenințare pretinde a fi UsenetClub, oferind trei niveluri de abonament pentru conținutul site-ului. Primele două sunt abonamente plătite care variază de la 69,99 USD pe lună la 279,99 USD pe an.
Cu toate acestea, o a treia opțiune pretinde că oferă acces gratuit după ce instalezi un software gratuit „CryptVPN” și îl folosești pentru a accesa site-ul.
Făcând clic pe butonul „Descarcă și instalează”, se va descărca un fișier CryptVPN.zip de pe site care, atunci când este extras, conține un shortcut Windows numit „CLICK-HERE-TO-INSTALL”.
Acest fișier este un shortcut către executabilul PowerShell.exe cu argumente pentru a descărca executabilul CryptVPN.exe, a-l salva în C:\Windows\Tasks.exe și a-l executa.
Executabilul malware este împachetat cu UPX, dar atunci când este dezarhivat, conține o secvență PDB care indică faptul că autorul a numit malware-ul „PedoRansom”.
Nu este nimic special în ceea ce privește malware-ul, deoarece tot ceea ce face este să schimbe tapetul țintei cu o cerere de șantaj și să plaseze o notă de răscumpărare numită README.TXT pe desktop, conținând amenințări de șantaj similare.
„Ai căutat materiale de exploatare a copiilor și/sau materiale de abuz sexual asupra copiilor. Ai fost destul de prost să fii hackerit,” se arată în cererea de șantaj.
„Am colectat toate informațiile tale, acum trebuie să ne plătești o răscumpărare sau viața ta s-a sfârșit.”
Șantajul continuă afirmând că persoana trebuie să plătească 500 de dolari la adresa de Bitcoin bc1q4zfspf0s2gfmuu8h5k0679sxgxjkd7aj5e6qyl în termen de zece zile sau informațiile lor vor fi divulgate.
Această adresă de Bitcoin a primit doar aproximativ 86 de dolari în plăți până în acest moment.
Actorii de amenințare au folosit tactici de „sextorționare” de mult timp, trimițând în mod obișnuit e-mailuri în masă unui număr mare de persoane pentru a încerca să îi sperie și să plătească o cerere de șantaj.
Aceste tactici au funcționat foarte bine inițial, cu spammerii extorși peste 50.000 de dolari săptămânal în campaniile timpurii.
Cu toate acestea, pe măsură ce timpul a trecut și destinatarii acestor escrocherii s-au învățat, campaniile de sextorționare nu mai generează același venit ca în trecut.
Deși această campanie în parte este puțin mai inventivă și va speria mulți ce caută acest tip de conținut, este puțin probabil să vedem mulți oameni plătind această cerere de șantaj.
Cisco avertizează cu privire la atacuri de password-spraying care vizează serviciile VPN
Comentariile de pe GitHub sunt abuzate pentru a distribui malware prin URL-uri de depozite Microsoft
Plățile de răscumpărare scad la un minim record de 28% în T1 2024
Frauda cu cheat-uri atrage jucătorii să răspândească malware de furt de informații
Malware-ul SoumniBot exploatează erorile Android pentru a evita detectarea
Leave a Reply