Des chercheurs découvrent une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé Varenyky. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner les écrans de ses victimes lorsqu’elles regardent du contenu sexuel en ligne.
Cette campagne de spam est apparue sur le radar des chercheurs ESET lors d’un premier pic de distribution en mai 2019, et n’a pas cessé d’évoluer depuis. « Nous pensons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l’avons vu. Comme toujours, nous recommandons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que leur système et leurs logiciels de sécurité sont tous à jour », explique Alexis Dorais-Joncas, chercheur principal au centre de R&D ESET à Montréal.
Les victimes de Varenyky sont en effet infectées en ouvrant une pièce jointe malveillante reçue dans un spam.
Pour changer, écrit dans un très bon français, ce qui pourrait indiquer que ses opérateurs parlent couramment notre langue. Une fois ouvert, le document exécute la charge utile malveillante, qui amorce à son tour le processus d’infection.
Utilisation de Tor
Enfin, à la fin de l’infection, Varenyky se met au travail et lance le logiciel Tor.
Il établit une communication anonyme avec son serveur de Commandes & Contrôle. À partir de ce moment, l’activité criminelle à proprement parler peut commencer. Le code malveillant lancera deux tâches en parallèle : diffusion de spams. Exécution sur l’ordinateur de la victime des commandes reçues depuis son serveur contrôle.
« L’une de ses capacités les plus dangereuses est qu’il recherche des mots-clés spécifiques tels que le terme ‘bitcoin’ et des mots en correspondance avec la pornographie. détaille Alexis Dorais-Joncas. Varenyky commence alors à enregistrer l’écran de l’ordinateur et télécharge ensuite l’enregistrement sur le serveur C&C », ajoute le chercheur.
Les commandes dont disposent les opérateurs leur permettent en effet de prendre des captures d’écran, mais aussi de lire les textes qui s’y affichent.
Nous connaissions déjà bien entendu les fausses campagnes de sextorsion, dans lesquels les criminels ne détenaient pas réellement d’images incriminantes de la victime. Mais la diffusion de Varenyky pourrait très bien conduire cette fois à de véritables campagnes de ce type. Sans compter l’autofinancement en parallèle par la capacité de vol d’identifiants des portefeuilles Bitcoin.
« Il faut également ajouter que Varenyky est aussi capable de voler les mots de passe, grâce au déploiement d’une application potentiellement dangereuse », explique Alexis Dorais-Joncas.
Intéressant, mais étonnant ! Quel intérêt pour un code malveillant de filmer les sites pornos ! Il aurait été plus judicieux d’allumer la webcam présente pour filmer le visiteur. Une perte de temps, d’énergie et d’outil. Quel est la chance de tomber sur un internaute qui possède du Bitcoin et qui visite des sites pour adultes. Trop peu pour que cet outil soit rentable !