Uno spyware automatizzato per la sextortion scatta foto tramite webcam alle vittime che guardano porno

L'hacking basato sulla sextortion, che dirotta la webcam di una vittima o la ricatta con foto di nudo che viene ingannata o costretta a condividere, rappresenta da tempo una delle forme più inquietanti di criminalità informatica . Ora un esemplare di spyware ampiamente disponibile ha trasformato questo crimine relativamente manuale in una funzionalità automatizzata, rilevando quando l'utente sta navigando su materiale pornografico sul proprio PC, catturandone uno screenshot e scattando una foto spontanea della vittima tramite la webcam.

Mercoledì, i ricercatori dell'azienda di sicurezza Proofpoint hanno pubblicato la loro analisi di una variante open source del malware "infostealer" noto come Stealerium, che l'azienda ha visto utilizzato in molteplici campagne di criminalità informatica da maggio di quest'anno. Il malware, come tutti gli infostealer, è progettato per infettare il computer di una vittima e inviare automaticamente a un hacker un'ampia varietà di dati sensibili rubati, tra cui informazioni bancarie, nomi utente e password e chiavi dei wallet di criptovalute delle vittime. Stealerium, tuttavia, aggiunge un'altra forma di spionaggio più umiliante: monitora anche il browser della vittima alla ricerca di indirizzi web che includono determinate parole chiave NSFW, cattura schermate delle schede del browser che includono tali parole, fotografa la vittima tramite la webcam mentre guarda quelle pagine porno e invia tutte le immagini a un hacker, che può quindi ricattare la vittima con la minaccia di pubblicarle.

"Quando si tratta di infostealer, in genere cercano di appropriarsi di tutto ciò che possono", afferma Selena Larson, una delle ricercatrici di Proofpoint che ha collaborato all'analisi dell'azienda. "Questo aggiunge un ulteriore livello di violazione della privacy e di informazioni sensibili che sicuramente non si vorrebbero nelle mani di un particolare hacker".

"È disgustoso", aggiunge Larson. "Lo odio."

Proofpoint ha analizzato a fondo le funzionalità di Stealerium dopo aver individuato il malware in decine di migliaia di email inviate da due diversi gruppi di hacker da lui monitorati (entrambi criminali informatici di dimensioni relativamente ridotte), oltre a diverse altre campagne di hacking basate su email. Stealerium, stranamente, è distribuito come strumento gratuito e open source disponibile su Github. Lo sviluppatore del malware, che si fa chiamare witchfindertr e si descrive come un "analista di malware" con sede a Londra, osserva sulla pagina che il programma è "solo a scopo didattico".

"Il modo in cui utilizzi questo programma è una tua responsabilità", si legge nella pagina. "Non sarò ritenuto responsabile per alcuna attività illegale. Né mi interessa come lo usi."

Nelle campagne di hacking analizzate da Proofpoint, i criminali informatici hanno tentato di indurre gli utenti a scaricare e installare Stealerium come allegato o link web, attirando le vittime con esche tipiche come un pagamento o una fattura falsi. Le email hanno preso di mira vittime all'interno di aziende del settore alberghiero, dell'istruzione e della finanza, sebbene Proofpoint abbia osservato che anche utenti esterni alle aziende sono stati probabilmente presi di mira, ma non rilevati dai suoi strumenti di monitoraggio.

Una volta installato, Stealerium è progettato per rubare un'ampia varietà di dati e inviarli all'hacker tramite servizi come Telegram, Discord o il protocollo SMTP in alcune varianti dello spyware, tutti relativamente standard negli infostealer. I ricercatori sono rimasti più sorpresi nel vedere la funzione di sextortion automatizzata, che monitora gli URL del browser alla ricerca di un elenco di termini correlati alla pornografia come "sesso" e "porno", che possono essere personalizzati dall'hacker e innescare l'acquisizione simultanea di immagini dalla webcam e dal browser dell'utente. Proofpoint osserva di non aver identificato vittime specifiche di tale funzione di sextortion, ma suggerisce che l'esistenza della funzione implica che sia stata probabilmente utilizzata.

Metodi di sextortion più diretti sono una tattica di ricatto comune tra i criminali informatici, e campagne di truffa in cui gli hacker affermano di aver ottenuto foto dalla webcam delle vittime che guardano materiale pornografico hanno infestato le caselle di posta elettronica negli ultimi anni, comprese alcune che cercano persino di rafforzare la propria credibilità con foto della casa della vittima prese da Google Maps. Ma le vere e proprie foto automatizzate dalla webcam degli utenti che guardano materiale pornografico sono "praticamente inaudite", afferma il ricercatore di Proofpoint Kyle Cucci. L'unico esempio simile noto, afferma, è stata una campagna malware che ha preso di mira gli utenti francofoni nel 2019 , scoperta dall'azienda di sicurezza informatica slovacca ESET.

La svolta verso l'utilizzo di funzionalità automatizzate di sextortion per colpire singoli utenti potrebbe far parte di una tendenza più ampia di alcuni criminali informatici, in particolare gruppi di livello inferiore, che stanno abbandonando le campagne ransomware e le botnet su larga scala e ad alta visibilità che tendono ad attirare l'attenzione delle forze dell'ordine, afferma Larson di Proofpoint.

"Per un hacker, non è come se stesse distruggendo un'azienda multimilionaria destinata a fare scalpore e ad avere un impatto devastante", afferma Larson, contrapponendo le tattiche di sextortion alle operazioni ransomware che tentano di estorcere somme a sette cifre alle aziende. "Cercano di monetizzare le persone una alla volta. E forse anche persone che potrebbero vergognarsi di denunciare una cosa del genere".