O hackeamento baseado em extorsão, que sequestra a webcam de uma vítima ou a chantageia com fotos nudes que foram enganadas ou coagidas a compartilhar, há muito tempo representa uma das formas mais perturbadoras de cibercrime. Agora, um exemplar de spyware amplamente disponível transformou esse crime relativamente manual em uma função automatizada, detectando quando o usuário está navegando em conteúdo pornográfico em seu PC, capturando imagens da tela e tirando uma foto da vítima através de sua webcam.
Na última quarta-feira, pesquisadores da empresa de segurança Proofpoint publicaram sua análise de uma variante de código aberto do malware “infostealer” conhecido como Stealerium, que a empresa tem visto ser usado em várias campanhas cibercriminosas desde maio deste ano. O malware, como todos os infostealers, é projetado para infectar o computador de um alvo e enviar automaticamente para um hacker uma ampla variedade de dados sensíveis roubados, incluindo informações bancárias, nomes de usuário e senhas, e chaves das carteiras criptografadas das vítimas. No entanto, o Stealerium adiciona outra forma mais humilhante de espionagem: ele também monitora o navegador da vítima em busca de endereços da web que incluam certas palavras-chave NSFW, captura imagens das guias do navegador que incluem essas palavras, tira uma foto da vítima através da sua webcam enquanto ela está visitando essas páginas pornográficas e envia todas as imagens para um hacker – que pode então chantagear a vítima com a ameaça de divulgá-las.
“Quando se trata de infostealers, eles geralmente estão em busca de qualquer informação que possam obter”, diz Selena Larson, uma das pesquisadoras da Proofpoint que trabalhou na análise da empresa. “Isso adiciona outra camada de invasão de privacidade e informações sensíveis que você definitivamente não gostaria que caísse nas mãos de um hacker em particular.”
“É nojento”, acrescenta Larson. “Eu odeio isso.”
A Proofpoint investigou as funcionalidades do Stealerium após encontrar o malware em dezenas de milhares de e-mails enviados por dois diferentes grupos de hackers que rastreia (ambas operações cibercriminosas de pequena escala), bem como em várias outras campanhas de hacking baseadas em e-mails. Estranhamente, o Stealerium é distribuído como uma ferramenta gratuita de código aberto disponível no Github. O desenvolvedor do malware, que usa o nome de usuário witchfindertr e se descreve como um “analista de malware” baseado em Londres, observa na página que o programa é apenas para “fins educacionais”.
“Como você usar este programa é de sua responsabilidade”, diz a página. “Não serei responsável por quaisquer atividades ilegais. Nem me importo com como você o usa.”
Nas campanhas de hacking analisadas pela Proofpoint, os cibercriminosos tentaram enganar os usuários para baixar e instalar o Stealerium como anexo ou link da web, atraindo as vítimas com iscas típicas como um pagamento falso ou fatura. Os e-mails tinham como alvo vítimas em empresas da indústria hoteleira, bem como em educação e finanças, embora a Proofpoint observe que usuários fora das empresas também provavelmente tenham sido alvos, mas não seriam vistos por suas ferramentas de monitoramento.
Uma vez instalado, o Stealerium é projetado para roubar uma ampla variedade de dados e enviá-los para o hacker via serviços como Telegram, Discord ou por meio do protocolo SMTP em algumas variantes do spyware, o que é relativamente padrão em infostealers. Os pesquisadores ficaram mais surpresos ao ver a função automatizada de sextorsão, que monitora os URLs do navegador em busca de uma lista de termos relacionados à pornografia, como “sexo” e “pornografia”, que podem ser personalizados pelo hacker e acionar capturas de imagem simultâneas da webcam e do navegador do usuário. A Proofpoint observa que não identificou nenhuma vítima específica dessa função de sextorsão, mas sugere que a existência da funcionalidade significa que provavelmente foi usada.
