В рамках пятимесячного исследовательского проекта команда исследователей Check Point Research раскрыла работу вредоносной программы, которая рассылает своим жертвам sextortion–письма.
Sextortion — шантаж с использованием интимных фото или видео жертвы, которые злоумышленники часто получают с веб-камеры. В случае отказа жертвы выполнить требования злоумышленников, хакеры обещают разослать полученные приватные данные по всем контактам. Sextortion-сообщения — письма, содержащие подобные угрозы от злоумышленников. Иногда злоумышленники говорят, что у них есть двойное видео: на одном видео запись экрана с фильмом 18+, на другом экране видео с реакцией пользователя на этот фильм.
Исследователи Check Point Research раскрыли ботнет, который использует тысячи зараженных компьютеров для доставки миллионов Sextortion- писем.
Вредоносная программа, ответственная за подобные рассылки, называется Phorpiex. Она активна уже в течении около 10 лет и уже заразила около 450 тыс. хостов, но это число очень быстро растет. Раньше главным способом получения прибыли для Phorpiex было распространение различных других вредоносных программ или использование хостов для майнинга криптовалюты, но с недавнего времени у этой программы появилась новая форма дохода: спам-бот, используемый для запуска крупнейших sextortion -кампаний, который когда-либо были.
Как это происходит?
Phorpiex использует спам-бота, который загружает базу данных адресов электронной почты с командного сервера. Далее программа рандомно выбирает адрес электронной почты из загруженной базы данных и отправляет сообщение, которое состоит из нескольких закодированных строк. Спам-бот может выдавать астрономически большое количество sextortion-писем: он создает в общей сложности 15 тыс. потоков для отправки сообщений из одной базы данных. Каждый поток берет случайную строку из загруженного файла.
Исследователи сообщают, что бот способен отправлять около 30 тыс. электронных писем в час. Каждая отдельная sextortion-кампания может охватить до 27 млн потенциальных жертв. Phorpiex использует базы данных с утечками паролей в сочетании с адресами электронной почты. Письма в подобных атаках начинаются с пароля жертвы, чтобы убедить жертву, что если у злоумышленников есть доступ к паролю, то скорее всего, доступ есть и к веб-камере. Как правило, жертва от этого теряется и готова выполнить все требования.
Как получают доход?
За пять месяцев наблюдений специалисты Check Point зарегистрировали переводы более 14 биткоинов на кошельки Phorpiex — чуть более $110 тыс.. Для кампании с минимальным обслуживанием, требующей только большой список учетных данных и переодической замены кошелька, прибыль составляет $22 тыс. в месяц. Но скорее всего, полученный доход гораздо выше — в предыдущие годы исследователи не проводили мониторинг sextortion-кампаний.
Источник forbes.kz