Piratería basada en sextortion, que secuestra la cámara web de una víctima o los chantajea con desnudos son engañados o obligados a compartir, ha representado durante mucho tiempo a uno de las formas más inquietantes de delitos cibernéticos. Ahora, un espécimen de spyware ampliamente disponible ha convertido ese crimen relativamente manual en una característica automatizada, detectando cuándo el usuario está navegando por la pornografía en su PC, la captación de capturas de pantalla y tomando una foto sincera de la víctima a través de su cámara web.
El miércoles, los investigadores de la firma de seguridad Proofpoint publicaron su análisis de una variante de código abierto de Malware «InfoTealer» Conocido como Stoalerium que la compañía ha visto utilizado en múltiples campañas cibercriminales desde mayo de este año. El malware, como todos los Infentes de Infentes, está diseñado para infectar la computadora de un objetivo y enviar automáticamente a un hacker una amplia variedad de datos confidenciales robados, incluidas la información bancaria, los nombres de usuario y las contraseñas, y las claves para las billeteras de criptográfico de las víctimas. Sin embargo, Strealerium agrega otra forma de espionaje más humillante: también monitorea el navegador de la víctima para direcciones web que incluyen ciertas palabras clave NSFW, las pestañas de capturas de pantalla que incluyen esas palabras, fotografia a la víctima a través de su cámara web mientras están viendo esas páginas porno y envían todas las imágenes a un hacker, por lo que puede matar la víctima con la víctima de su víctima.
«Cuando se trata de InfoTentes, generalmente están buscando lo que puedan agarrar», dice Selena Larson, una de las investigadoras de PruebePoint que trabajó en el análisis de la compañía. «Esto agrega otra capa de invasión de privacidad e información confidencial que definitivamente no desearía en manos de un hacker en particular».
«Es asqueroso», agrega Larson. «Lo odio.»
Proofpoint excavó las características de Strealerium después de encontrar el malware en decenas de miles de correos electrónicos enviados por dos grupos de piratas informáticos diferentes que rastrea (ambas operaciones cibercriminales relativamente a pequeña escala), así como una serie de otras campañas de piratería basadas en el correo electrónico. Strealerium, extrañamente, se distribuye como una herramienta gratuita de código abierto disponible en GitHub. El desarrollador del malware, que realiza el llamado Witchfindertr y se describe a sí mismo como un «analista de malware» con sede en Londres, señala en la página que el programa es para «fines educativos solamente».
«Cómo usa este programa es su responsabilidad», dice la página. “No seré responsable de ninguna actividad ilegal. A tampoco me importa una mierda cómo lo usas «.
En las campañas de piratería, PruebePoint analizada, los ciberdelincuentes intentaron engañar a los usuarios para que descargaran e instalaran Strealerium como un archivo adjunto o un enlace web, atrayendo a las víctimas con cebo típico como un pago o una factura falsa. Los correos electrónicos atacaron a las víctimas dentro de las empresas en la industria hotelera, así como en educación y finanzas, aunque Proofpoint señala que los usuarios fuera de las empresas probablemente también fueron atacados, pero no serían vistos por sus herramientas de monitoreo.
Una vez que está instalado, Stoalerium está diseñado para robar una amplia variedad de datos y enviarlos al hacker a través de servicios como Telegram, Discord o el Protocolo SMTP en algunas variantes del spyware, todo lo cual es relativamente estándar en los infantes de infantes. Los investigadores se sorprendieron más al ver la función automatizada de SextORTORT, que monitorea las URL del navegador una lista de términos relacionados con la pornografía como «sexo» y «porno», que puede ser personalizado por el hacker y activar capturas de imágenes simultáneas de la cámara web y el navegador del usuario. Proofpoint señala que no ha identificado ninguna víctima específica de esa función de sextortación, pero la existencia de la característica sugiere que probablemente se usó.
