Un programa espía está fotografiando a usuarios mientras ven porno para extorsionarlos

El pirateo basado en la sextorsión secuestra la cámara web de una persona y la chantajea con fotos de desnudos; luego la fuerza a compartir las imágenes; este ha sido durante mucho tiempo una de las formas más alarmantes de ciberdelito. Ahora, un programa espía ampliamente disponible ha convertido ese delito relativamente manual en una función automatizada, detectando cuándo el usuario está viendo pornografía en su PC, haciendo una captura de pantalla y tomando una foto de la víctima a través de su cámara web.

Información confidencial

El miércoles, los investigadores de la empresa de seguridad Proofpoint publicaron su análisis de una variante de código abierto de malware «infostealer» (que roba información) conocida como Stealerium; la empresa la ha visto siendo utilizada en múltiples campañas de ciberdelincuentes desde mayo de este año. El malware, como todos los infostealers, está diseñado para infectar la computadora de un objetivo y enviar automáticamente a un hacker una amplia variedad de datos confidenciales robados, incluyendo información bancaria, nombres de usuario y contraseñas, y claves de las carteras de criptomonedas de las víctimas. Stealerium, sin embargo, añade otra forma de espionaje más humillante: También monitorea el navegador de la víctima en busca de direcciones web que incluyan ciertas palabras clave NSFW, hace capturas de pantalla de las pestañas del navegador que incluyan esas palabras, fotografía a la víctima a través de su webcam mientras está viendo esas páginas porno y envía todas las imágenes a un hacker. Luego, el delincuente puede chantajear a la víctima con la amenaza de publicarlas.

«Cuando se trata de ladrones de información, lo normal es que busquen cualquier cosa que puedan robar», afirma Selena Larson, una de las investigadoras de Proofpoint que trabajó en el análisis de la empresa. «Esto añade otra capa de invasión de la privacidad y la información sensible que definitivamente no querrías en manos de un hacker en particular».

«Es asqueroso», añade Larson. «Lo odio».

Proofpoint indagó en las características de Stealerium después de encontrar el malware en decenas de miles de correos electrónicos enviados por dos grupos de hackers (ambas operaciones cibercriminales de escala relativamente pequeña), así como en una serie de otras campañas de hacking basadas en correo electrónico. Stealerium, curiosamente, se distribuye como una herramienta gratuita de código abierto disponible en Github. El desarrollador del malware, que se hace llamar ‘witchfindertr’ y se describe a sí mismo como un «analista de malware» con sede en Londres, señala en la página que el programa es para «fines educativos solamente.»

«El uso que hagas de este programa es responsabilidad tuya», se lee en la página. «No seré responsable de ninguna actividad ilegal. Ni me importa una mierda cómo lo uses».

¿Cómo invade Stealerium una computadora?

En las campañas de pirateo analizadas por Proofpoint, los ciberdelincuentes intentaban engañar a los usuarios para que descargaran e instalaran Stealerium como un archivo adjunto o un enlace web, atrayendo a las víctimas con cebos típicos como un pago o una factura falsos. Los correos electrónicos iban dirigidos a víctimas de empresas del sector de la hostelería, así como de los sectores de la educación y las finanzas, aunque Proofpoint señala que es probable que también se dirigieran a usuarios de fuera de las empresas, pero que sus herramientas de vigilancia no los detectaran.

Una vez instalado, Stealerium está diseñado para robar una amplia variedad de datos y enviarlos al hacker a través de servicios como Telegram, Discord, o el protocolo SMTP en algunas variantes del spyware, todo relativamente estándar en infostealers. Los investigadores se sorprendieron más al ver la función de sextorsión automatizada, que monitorea las URL del navegador en busca de una lista de términos relacionados con la pornografía, como «sexo» y «porno», que pueden ser personalizados por el hacker y desencadenar capturas simultáneas de imágenes de la webcam y el navegador del usuario. Proofpoint señala que no ha identificado a ninguna víctima concreta de esa función de sextorsión, pero sugiere que la existencia de la función significa que es probable que se haya utilizado.

Los métodos de sextorsión más prácticos son una táctica de chantaje común entre los ciberdelincuentes, y las campañas de estafa en las que los hackers aseguran haber obtenido fotos de la webcam de las víctimas mirando pornografía también han plagado las bandejas de entrada en los últimos años, incluyendo algunas que incluso tratan de reforzar su credibilidad con imágenes de la casa de la víctima extraídas de Google Maps. Sin embargo, según Kyle Cucci, investigador de Proofpoint, «es prácticamente inaudito que se tomen fotos reales y automatizadas de usuarios viendo pornografía». El único ejemplo similar conocido, recuerda, fue una campaña de malware dirigida a usuarios francófonos en 2019, descubierta por la firma eslovaca de ciberseguridad ESET.

El cambio hacia apuntar a usuarios individuales con funciones automatizadas de sextorsión puede ser parte de una tendencia más amplia de algunos cibercriminales, particularmente los grupos de nivel inferior, que se alejan de las campañas de ransomware y botnets a gran escala y alta visibilidad que tienden a atraer la atención de las fuerzas del orden, comenta Larson de Proofpoint.

“Para un hacker, no se trata de desmantelar una empresa multimillonaria que causará revuelo y tendrá un gran impacto posterior”, aclara Larson, comparando las tácticas de sextorsión con las operaciones de ransomware que intentan extorsionar a las empresas con sumas millonarias. “Intentan monetizar a las personas una a una. Y quizás a personas que podrían avergonzarse de denunciar algo así”.

Fuente: WIRED