Stealerium Malware Agrega Extorsión Sexual Automatizada a Través de la Cámara Web
Puntos clave
- Stealerium es un infostealer de código abierto alojado en GitHub.
- Roba datos típicos como contraseñas, detalles bancarios y claves criptográficas.
- Un nuevo módulo captura automáticamente fotos de la cámara web y capturas de pantalla del navegador cuando una víctima visita sitios pornográficos.
- El malware se distribuye a través de correos electrónicos de phishing con archivos adjuntos o enlaces maliciosos.
- Los sectores objetivo incluyen hostelería, educación y finanzas.
- El desarrollador, conocido como witchfindertr, afirma que la herramienta es "solo para fines educativos".
- Proofpoint observó la función de extorsión sexual siendo utilizada en campañas activas.
- La función permite el posible chantaje de víctimas individuales.
Investigadores de seguridad de Proofpoint han identificado una nueva variante del infostealer de código abierto conocido como Stealerium que captura automáticamente fotos de la cámara web y capturas de pantalla del navegador cuando una víctima visita sitios pornográficos. El malware, distribuido gratuitamente en GitHub por un desarrollador que se hace llamar witchfindertr, roba datos típicos como contraseñas y claves criptográficas mientras agrega una función de extorsión sexual humillante.
Antecedentes
La familia de infostealers ha sido utilizada durante mucho tiempo para recopilar credenciales, detalles bancarios y información de criptomonedas. El análisis de Proofpoint reveló que una variante de código abierto reciente, Stealerium, amplía este alcance con una capacidad de extorsión sexual novedosa. El código del malware está disponible públicamente en GitHub, donde el autor, identificado solo como witchfindertr, lo etiqueta como "solo para fines educativos".Proofpoint encontró por primera vez Stealerium en grandes volúmenes de tráfico de correo electrónico de phishing, donde se utilizaron archivos adjuntos o enlaces maliciosos para atraer a las víctimas a instalar el programa. Las campañas se dirigieron a usuarios en los sectores de hostelería, educación y finanzas, aunque los investigadores señalaron que los usuarios individuales fuera de entornos corporativos también podrían haber sido afectados.
Capacidades del Malware
Stealerium conserva las funciones standard del infostealer: recopila nombres de usuario, contraseñas, credenciales bancarias y claves de billetera criptográfica, y luego exfiltra los datos a través de servicios como Telegram, Discord o SMTP. La adición distintiva es un módulo de extorsión sexual automatizado. El malware monitorea el navegador web de la víctima en busca de URLs que contengan términos relacionados con la pornografía. Cuando se encuentra una coincidencia, captura simultáneamente una captura de pantalla de la pestaña del navegador y una foto de la cámara web de la víctima, y envía ambas imágenes al atacante. Esto permite a los delincuentes potencialmente chantajear a las víctimas con pruebas de que estaban viendo contenido para adultos.
Distribución y Atribución
La herramienta se distribuye como un paquete de código abierto gratuito en GitHub, lo que la hace fácilmente accesible para actores de amenaza de baja habilidad. El perfil de GitHub del desarrollador afirma tener una ubicación en Londres y explícitamente renuncia a cualquier responsabilidad por uso ilegal. Los investigadores de Proofpoint señalaron que la función de extorsión sexual parece ser personalizable, lo que permite a los atacantes definir la lista de palabras clave de activación.
Impacto y Respuesta de la Industria
Aunque Proofpoint no ha identificado víctimas específicas de la función de extorsión sexual, la presencia de la función sugiere que probablemente ha sido empleada en campañas en curso. La adición de la captura automática de la cámara web marca una desviación de los tradicionales estafas de extorsión sexual ejecutadas manualmente y refleja una tendencia más amplia de los cibercriminales que se centran en la extorsión individual en lugar de ataques de ransomware a gran escala. Las empresas de seguridad aconsejan a los usuarios que tengan cuidado con los archivos adjuntos o enlaces no solicitados y que mantengan defensas anti-malware actualizadas.