La sextorsión, que implica el hackeo de la webcam de una víctima o el chantaje con imágenes íntimas que han sido compartidas bajo engaño o coerción, ha sido una de las formas más perturbadoras de cibercrimen. Ahora, un tipo de spyware ampliamente disponible ha automatizado esta actividad, detectando cuando el usuario navega por sitios de pornografía, tomando capturas de pantalla y fotografías del usuario a través de su webcam.
El miércoles, investigadores de la firma de seguridad Proofpoint publicaron su análisis de una variante de código abierto de malware conocido como Stealerium, que ha sido utilizado en múltiples campañas cibernéticas desde mayo de este año. Este malware está diseñado para infectar la computadora de un objetivo y enviar automáticamente una variedad de datos sensibles robados, incluyendo información bancaria, nombres de usuario y contraseñas. Sin embargo, Stealerium añade una forma más humillante de espionaje: monitorea el navegador de la víctima en busca de direcciones web que contengan ciertas palabras clave relacionadas con contenido para adultos, toma capturas de pantalla de las pestañas del navegador que incluyen esas palabras, fotografía a la víctima a través de su webcam mientras navega por esos sitios y envía todas las imágenes a un hacker, quien puede luego chantajear a la víctima con la amenaza de hacerlas públicas.
“En el caso de los infostealers, generalmente buscan cualquier cosa que puedan obtener”, comentó Selena Larson, una de las investigadoras de Proofpoint. “Esto añade otra capa de invasión de privacidad y de información sensible que definitivamente no querrías que cayera en manos de un hacker en particular”.
Proofpoint investigó las características de Stealerium después de encontrar el malware en decenas de miles de correos electrónicos enviados por dos grupos de hackers relativamente pequeños, así como en otras campañas de hacking basadas en correos electrónicos. Curiosamente, Stealerium se distribuye como una herramienta gratuita y de código abierto disponible en GitHub. El desarrollador del malware, que se hace llamar witchfindertr y se describe a sí mismo como un “analista de malware” con sede en Londres, señala en la página que el programa es solo para “fines educativos”.
“Cómo uses este programa es tu responsabilidad”, reza la página. “No me haré responsable de ninguna actividad ilegal. Ni me importa cómo lo uses.”
En las campañas de hacking analizadas por Proofpoint, los cibercriminales intentaron engañar a los usuarios para que descargaran e instalaran Stealerium como un archivo adjunto o un enlace web, utilizando cebos típicos como un pago o factura falsa. Los correos electrónicos estaban dirigidos a víctimas dentro de empresas de la industria hotelera, así como en educación y finanzas, aunque Proofpoint señala que es probable que también se hayan dirigido a usuarios fuera de las empresas, pero que no serían detectados por sus herramientas de monitoreo.
Una vez instalado, Stealerium está diseñado para robar una amplia variedad de datos y enviarlos al hacker a través de servicios como Telegram, Discord o el protocolo SMTP en algunas variantes del spyware, lo que es relativamente estándar en infostealers. Los investigadores quedaron más sorprendidos al ver la función de sextorsión automatizada, que monitorea las URL del navegador en busca de una lista de términos relacionados con la pornografía, como “sexo” y “porno”, que pueden ser personalizados por el hacker y activar capturas de imágenes simultáneas de la webcam y del navegador del usuario. Proofpoint señala que no ha identificado víctimas específicas de esta función de sextorsión, pero sugiere que la existencia de la característica implica que probablemente ha sido utilizada.
Los métodos de sextorsión más manuales son una táctica común de chantaje entre los cibercriminales, y las campañas de estafa en las que los hackers afirman haber obtenido fotos de webcam de las víctimas mirando pornografía también han plagado los correos electrónicos en los últimos años. Sin embargo, las imágenes automatizadas de webcam de usuarios navegando por sitios de pornografía son “prácticamente desconocidas”, según el investigador de Proofpoint, Kyle Cucci. El único ejemplo similar conocido fue una campaña de malware que apuntó a usuarios de habla francesa en 2019, descubierta por la firma de ciberseguridad ESET de Eslovaquia.
El cambio hacia la focalización de usuarios individuales con características de sextorsión automatizadas puede ser parte de una tendencia más amplia de algunos cibercriminales, particularmente grupos de menor escala, que se alejan de las campañas de ransomware de gran visibilidad y de las botnets que tienden a atraer la atención de las fuerzas del orden, según Larson.
“Para un hacker, no es como si estuvieras derribando una empresa multimillonaria que va a causar revuelo y tener muchos impactos posteriores”, dice Larson, contrastando las tácticas de sextorsión con las operaciones de ransomware que intentan extorsionar sumas de siete cifras de las empresas. “Están tratando de monetizar a las personas una a la vez. Y tal vez a personas que podrían sentirse avergonzadas de reportar algo así”.
Esta historia apareció originalmente en wired.com.
Fuente original: ver aquí
