Independientemente del antivirus con el que cuente su dispositivo, el rápido desarrollo de la tecnología provoca que cada vez sea más fácil encontrar una puerta de atrás que permita robar su información. Un nuevo virus informático hallado en mayo de este 2019 identifica a usuarios mientras estos miran contenido para adultos, así lo informó la empresa canadiense de ciberseguridad ESET.

El malware denominado Varenyky está dirigido a usuarios en Francia. Este graba la pantalla de los dispositivos mientras las personas ven pornografía. El malware se infiltra en los dispositivos mediante un bot de spam (correo no deseado), que, según señalan desde la empresa, no ha hecho más que evolucionar para evitar ser eliminado de los terminales infectados.

El responsable de investigación y concienciación de ESET España, Josep Albors, señaló:

“Varenyky está dirigido a usuarios franceses, concretamente a usuarios del isp Orange y tiene funciones de filtrado para evitar afectar a usuarios en otros países. No obstante, no podemos descartar que esta amenaza u otras similares se puedan extender a otras regiones en el futuro.”

 

 

La macro utiliza la función Application.LanguageSettings.LanguageID () para obtener el ID de idioma de la computadora de la víctima. Esta ID contiene el país y el idioma establecido por el usuario. El script verifica si el valor devuelto es 1036 en decimal (o 0x40C en hexadecimal) y, según la documentación de Microsoft, este valor corresponde a Francia y al idioma francés.

Este es un buen truco para engañar a los analizadores de muestras automáticos y evitar llamar la atención debido a la cantidad limitada de configuraciones de computadora en las que se instalará este malware. Vale la pena señalar que, al utilizar este identificador de configuración regional específico, el malware excluye a los países de habla francesa que no sean Francia, como es el caso de Bélgica y Canadá, que tienen sus propios identificadores.

Para infectar los dispositivos de las víctimas, los ciberdelincuentes usan spam con un archivo adjunto malicioso en forma de una factura falsa. Para abrir un archivo es necesario pasar una verificación del sistema para confirmar que no es un robot; después de eso el spyware ejecuta un componente peligroso.

Después de la infección, Varenyky ejecuta el software Tor que le permite comunicarse de forma anónima con el servidor de los cibercriminales. «A continuación, la amenaza lanza dos transmisiones: una es responsable del envío de correo no deseado y la otra puede ejecutar comandos provenientes de su servidor de comandos», informan los expertos de ESET.

Es especialmente peligroso que este software pueda buscar palabras clave específicas en el sistema de la víctima, por ejemplo, Bitcoin o palabras relacionadas con contenido de naturaleza sexual. Si se encuentran esas palabras, Varenyky comienza a grabar video desde la pantalla de la computadora y luego carga la grabación en C&C.

«Otra característica de la amenaza es que puede robar contraseñas mediante la implementación de un programa que consideramos potencialmente peligroso», dijeron los investigadores. «Utilizando otros componentes maliciosos, los atacantes pueden leer el texto o tomar capturas de pantalla de la víctima».

Tras esto, el dispositivo comienza a grabar cada vez que el usuario entra en una página web de contenido para adultos y envía las grabaciones a sus contactos. Albors afirma:

“El malware tiene la capacidad de grabar en vídeo lo que sucede en el sistema de la víctima y después enviarlo a los delincuentes. Esto es posible gracias a la descarga de la herramienta FFmpeg, de código abierto y que permite, entre otras muchas cosas, realizar esta grabación y codificarla para que ocupe poco espacio antes de ser enviada.”

 

Los correos electrónicos enviados por un bot de spam dirigen a los usuarios a un enlace con acciones falsas a teléfonos inteligentes cuyo propósito es el phishing, así como el robo de información personal y detalles de tarjetas de crédito. Un bot de spam puede enviar hasta 1.500 correos electrónicos por hora.

ESET ya ha registrado varios casos sextorsión que involucra a víctimas de origen francés. Los hackers contactan al usuario para solicitar un pago de 750 euros en bitcoins a cambio de no compartir las grabaciones en las que, supuestamente, aparece este consumiendo pornografía.

“No disponemos de datos concretos acerca del número de víctimas afectadas por este malware aunque sí sabemos que, hasta el momento de publicar esta investigación, siete usuarios cedieron al chantaje de los delincuentes y realizaron un pago en bitcoins”, explica Albors.

Según señalan desde ESET, Varenyky únicamente puede grabar desde la pantalla del dispositivo infectado, no desde la cámara. Desde la firma de ciberseguridad explican, a su vez, que por el momento no se ha publicado ningún contenido que haya sido robado mediante el uso de Varenyky.

Este correo electrónico afirma que el autor, que es un hacker, ha obtenido acceso a la computadora de la víctima a través de un virus que fue detectado mientras visitaba un sitio web para adultos. Dice que la víctima tiene interés particular por la pornografía y que el hacker ha obtenido el control remoto de la computadora de la víctima.

El correo también dice que se ha hecho un video donde en la mitad de la pantalla hay una grabación del navegador de la víctima y la otra mitad es una grabación de la cámara web (si está encendida) de la víctima al momento de mirar contenido para adultos.

El correo explica que la víctima tiene 72 horas para pagar antes de que el video se envíe a familiares, colegas o que sea publicado en Facebook, Twitter u otros lugares. El mensaje también dice que modificar las contraseñas, eliminar el virus, enviar la computadora a reparar o limpiarla no servirá de nada porque los datos de la víctima están en un servidor remoto (“No creas que soy un tonto”). Como prueba, la víctima puede responder “Sí” al correo electrónico para que el video se envíe a seis de sus contactos más valiosos.

El correo electrónico termina con: “Esta oferta no es negociable, no pierda su tiempo ni me haga perder el mío, piense en las consecuencias de sus acciones”.

Este spambot no está muy avanzado, pero el contexto y la historia a su alrededor lo hacen interesante. Podemos suponer que el hecho de que se dirija a Francia podría indicar que el operador entiende algo de francés, lee o habla el idioma, o tal vez ambos.

Varias funciones de Varenyky están relacionadas a posibles extorsiones o chantajes dirigidos a víctimas que miran contenido pornográfico, y a pesar de haber también enviado correos no relacionados con la campaña de sextorsión, hasta donde se sabe los operadores no han aprovechado esto.