Sextortion, la minaccia che si moltiplica via mail

da | 17 Ott 2019

I ricercatori di Check Point hanno scoperto una botnet, in pratica una mail composta da dispositivi infettati da malware specializzati detti bot o zombie. E questa rete sfrutta le caselle di posta elettronica più diffuse per inviare 30.000 e-mail all’ora per estorsione a sfondo sessuale. È il fenomeno che si chiama Sextortion e avviene senza che i proprietari se ne accorgano.  Ecco come riconoscerlo.

Una delle mail di minaccia arrivate

Il fenomeno delle Sextortion

Siamo veicoli inconsapevoli

La rete malevola ha invato inconsapevolmente e-mail di estorsione a sfondo sessuale a 27 milioni di persone.

Le caratteristiche questo attacco sono queste: chiunque potrebbe essere utilizzato come vettore della minaccia. La botnet aggira GMail, Outlook o tutto ciò che lascia tracce. Le password intercettate vengono utilizzate, insieme agli indirizzi e-mail, per intimidire destinatari innocenti. Per incassare il denaro estorto vengono utilizzati Bitcoin wallet

I ricercatori di Check Point, hanno  scoperto come vengono diffuse campagne di Sextortion. Si riceve un’e-mail con una richiesta di pagamento di una somma di denaro per evitare la diffusione di contenuti sessuali acquisiti, solitamente, tramite la webcam. Attraverso un progetto di ricerca della durata di cinque mesi, i ricercatori hanno scoperto un malware molto grande e “normale” che utilizza le vittime infette per inviare inconsapevolmente e-mail di sextortion in modo massiccio. In modo simile a una macchina. La velocità e il volume delle e-mail generate è ingente.

Il malware che ha infettato le mail

Il malware in questione si chiama Phorpiex.

Attivo da circa un decennio, ha infettato oltre 450.000 host. E questo numero sta crescendo rapidamente. In passato, Phorpiex ha monetizzato soprattutto distribuendo varie altre famiglie di malware e ha utilizzato i suoi host per estrarre valuta criptata. Ma recentemente è stato visto che ha aggiunto una nuova forma di generazione di reddito alle proprie capacità. Un bot spam utilizzato per gestire le più grandi campagne di sextortion su larga scala che abbiamo mai visto.

Come funziona

Phorpiex utilizza un bot spam che scarica un database di indirizzi e-mail da un server. Quello che succede dopo è che un indirizzo e-mail viene selezionato casualmente dal database scaricato e viene composto un messaggio utilizzando diverse stringhe hardcoded. Il bot spam può produrre una quantità astronomicamente grande di e-mail di sextortion: un totale di 15.000 thread per inviare messaggi spam da un database.

Ogni thread prende una stringa casuale dal file scaricato. Il file di database successivo viene scaricato quando tutti i thread di spam finiscono. Se consideriamo i ritardi, di può stimare che il bot è in grado di inviare circa 30.000 e-mail in un’ora. E, ogni singola campagna di sextortion può coprire fino a 27 milioni di potenziali vittime.

Password intercettate

Phorpiex utilizza database con password intercettate o trapelate in combinazione con indirizzi e-mail. La password di una vittima viene solitamente inclusa in un messaggio e-mail per renderlo più persuasivo, dimostrando che è nota all’hacker. Le e-mail in questo attacco iniziano con la password per colpire la vittima. Di seguito, un esempio che abbiamo visto:

Per inviare e-mail, Phorpiex utilizza una semplice implementazione del protocollo SMTP. L’indirizzo del server deriva dal nome di dominio di un indirizzo e-mail. Dopo aver stabilito una connessione al server SMTP e aver ricevuto un messaggio di invito, il bot spam invia un messaggio con il proprio indirizzo IP esterno.

Il riscatto in Bitcoin

Check Point ha registrato trasferimenti di oltre 11 BTC ai portafogli di Phorpiex durante i cinque mesi di osservazione e ricerca.

Il numero di entrate effettive raccolte è probabilmente più significativo, dal momento che non sono state monitorato le campagne di sextortion negli anni precedenti. A questo punto il compito degli utenti è quello di non spaventarsi davanti a richieste di questo tipo. E di contattare eventualmente gli esperti per reagire alla minaccia.

0 commenti

Potrebbe Interessarti