Nei messaggi incriminati è nascosto una payload dannoso, chiamata Varenyky dai ricercatori ESET, che presenta diverse funzionalità pericolose. Varenyky infatti non solo può essere utilizzato per inviare spam, ma anche per sottrarre password ed è in grado di catturare la visualizzazione di video di contenuti per adulti.
Il primo picco nella telemetria ESET per questo bot è arrivato a maggio 2019 e dopo ulteriori indagini, i ricercatori ESET sono stati in grado di identificare il malware specifico utilizzato nella distribuzione dello spam.
“Riteniamo che lo spambot sia in fase di intenso sviluppo in quanto è cambiato notevolmente dalla prima volta che l’abbiamo visto. Come sempre, raccomandiamo agli utenti di fare attenzione quando aprono gli allegati da fonti sconosciute e di assicurarsi che i software di sistema e di sicurezza siano tutti aggiornati ” afferma Alexis Dorais-Joncas, analista presso il centro di ricerca e sviluppo ESET di Montreal.
Per infettare più agevolmente gli obiettivi, gli operatori Varenyky usano lo spam con allegata una fattura falsa malevola, che induce la vittima ad aprire il documento per verificarne il contenuto; successivamente lo spyware esegue il payload dannoso. Varenyky è dedicato esclusivamente alla Francia, con il contenuto del messaggio di spam espresso in un francese corretto, suggerendo quindi che gli attaccanti parlino correntemente la lingua.
Dopo l’infezione, Varenyky esegue il software Tor che consente la comunicazione anonima con il suo server di Comando e Controllo. Da quel momento in poi l’attività criminale inizia a pieno ritmo.
“Avvierà due thread: uno che si occupa dell’invio di spam e un altro in grado di eseguire comandi provenienti dal suo server Comando e Controllo sul computer”, afferma Dorais-Joncas. “Uno degli aspetti più pericolosi è che cerca parole chiave specifiche come bitcoin e parole correlate al porno nelle applicazioni in esecuzione sul sistema della vittima. Se viene trovata una di queste parole, Varenyky inizia a registrare le attività sullo schermo del computer e quindi carica la registrazione sul proprio server C&C “, aggiunge l’esperto.
Abbiamo visto false campagne di sextortion in passato, ma le funzionalità di questa nuova payload potrebbero benissimo portare a campagne di sextortion reali. Mentre inizialmente gli operatori Varenyky non hanno sfruttato questo approccio, dalla fine di luglio le cose sono cambiate e i criminali informatici sembrano intenzionati a monetizzare le loro attività affidadosi ai Bitcoin per riscuotere i ricatti alle malcapitate vittime.
“Un’altra funzionalità degna di nota è che è in grado di rubare le password attraverso la distribuzione di un’applicazione che definiamo potenzialmente non sicura”, afferma Dorais-Joncas. Altri comandi consentono all’attaccante di leggere il testo o acquisire screenshot. Le email di spam inviate dal bot portano le vittime a false promozioni per smartphone, il cui unico scopo è il phishing per carpire informazioni personali e dati delle carte di credito. Un singolo bot può inviare fino a 1500 email all’ora. È interessante notare come gli obiettivi di tutti i messaggi spam che abbiamo osservato fossero gli utenti di Orange S.A., un fornitore di servizi Internet francese.
ESET Italia rinnova il suggerimento a mantenere alta l’attenzione alle email di spam evitando di cliccare sui link presenti nel messaggio e di eseguire gli allegati.
Lascia un commento