Очередная вредоносная кампания может затронуть данные 27 млн пользователей

18 октябрь, 2019 - 08:35

Новая вредоносная кампания может затронуть данные 27 млн пользователей

В рамках пятимесячного исследовательского проекта команда исследователей Check Point Research раскрыла работу вредоносной программы, которая рассылает своим жертвам sextortion–письма.

Sextortion — шантаж с использованием интимных фото или видео жертвы, которые злоумышленники часто получают с веб-камеры. В случае отказа жертвы выполнить требования злоумышленников, хакеры обещают разослать полученные приватные данные по всем контактам. Sextortion-сообщения — письма, содержащие подобные угрозы от злоумышленников. Иногда злоумышленники говорят, что у них есть двойное видео: на одном видео запись экрана с фильмом 18+, на другом экране видео с реакцией пользователя на этот фильм.
Вредоносная программа, ответственная за подобные рассылки, называется Phorpiex. Она активна уже в течении около 10 лет и уже заразила около 450 000 хостов, но это число очень быстро растет. Раньше главным способом получения прибыли для Phorpiex было распространение различных других вредоносных программ или использование хостов для майнинга криптовалюты, но с недавнего времени у этой программы появилась новая форма дохода: спам-бот, используемый для запуска крупнейших sextortion -кампаний, который когда-либо были.

Phorpiex использует спам-бота, который загружает базу данных адресов электронной почты с командного сервера. Далее программа рандомно выбирает адрес электронной почты из загруженной базы данных и отправляет сообщение, которое состоит из нескольких закодированных строк. Спам-бот может выдавать астрономически большое количество sextortion-писем: он создает в общей сложности 15 000 потоков для отправки сообщений из одной базы данных. Каждый поток берет случайную строку из загруженного файла.

Исследователи сообщают, что бот способен отправлять около 30 000 электронных писем в час. Каждая отдельная sextortion-кампания может охватить до 27 миллионов потенциальных жертв. Phorpiex использует базы данных с утечками паролей в сочетании с адресами электронной почты. Письма в подобных атаках начинаются с пароля жертвы, чтобы убедить жертву, что если у злоумышленников есть доступ к паролю, то скорее всего, доступ есть и к веб-камере. Как правило, жертва от этого теряется и готова выполнить все требования.

За пять месяцев наблюдений специалисты Check Point зарегистрировали переводы более 14 биткоинов на кошельки Phorpiex — чуть более 110 000 долл. Для кампании с минимальным обслуживанием, требующей только большой список учетных данных и переодической замены кошелька, прибыль составляет 22 000 долл. в месяц.  Но скорее всего, полученный доход гораздо выше — в предыдущие годы исследователи не проводили мониторинг sextortion-кампаний.