Malware Stealerium Adiciona Sextorsão Automatizada via Webcam
Pontos principais
- O Stealerium é um infostealer de código aberto hospedado no GitHub.
- Ele rouba dados típicos, como senhas, detalhes bancários e chaves de criptomoedas.
- Um novo módulo captura automaticamente fotos da câmera web e telas do navegador quando uma vítima visita sites pornográficos.
- O malware é distribuído por meio de e-mails de phishing com anexos ou links maliciosos.
- Setores visados incluem hospedagem, educação e finanças.
- O desenvolvedor, conhecido como witchfindertr, afirma que a ferramenta é para "fins educacionais apenas".
- A Proofpoint observou a função de sextorsão sendo usada em campanhas ativas.
- A função permite o potencial chantagem de vítimas individuais.
Pesquisadores de segurança da Proofpoint identificaram uma nova variante do infostealer de código aberto conhecido como Stealerium que captura automaticamente fotos da câmera web e telas do navegador quando uma vítima visita sites pornográficos.
Contexto
A família de infostealers tem sido usada por muito tempo para coletar credenciais, detalhes bancários e informações de criptomoedas. A análise da Proofpoint revelou que uma variante aberta recente, Stealerium, expande esse escopo com uma nova capacidade de sextorsão. O código do malware está disponível publicamente no GitHub, onde o autor, identificado apenas como witchfindertr, o rotula como "para fins educacionais apenas".A Proofpoint encontrou o Stealerium em grandes volumes de tráfego de e-mails de phishing, onde anexos ou links maliciosos eram usados para atrair vítimas para instalar o programa. As campanhas visavam usuários nos setores de hospedagem, educação e finanças, embora os pesquisadores tenham notado que usuários individuais fora de ambientes corporativos também foram provavelmente afetados.
Capacidades do Malware
O Stealerium retém as funções padrão do infostealer: coleta nomes de usuário, senhas, credenciais bancárias e chaves de carteira de criptomoedas, então exfiltra os dados por meio de serviços como Telegram, Discord ou SMTP. A adição distintiva é um módulo de sextorsão automatizado. O malware monitora o navegador da vítima para URLs contendo termos relacionados à pornografia. Quando uma correspondência é encontrada, ele captura simultaneamente uma tela do navegador e uma foto da câmera web da vítima, encaminhando ambas as imagens para o atacante. Isso permite que os criminosos potencialmente chantagem as vítimas com evidências de que elas visualizam conteúdo adulto.
Distribuição e Atribuição
A ferramenta é distribuída como um pacote de código aberto gratuito no GitHub, tornando-a facilmente acessível a atores de ameaça de baixa habilidade. O perfil do GitHub do desenvolvedor afirma uma localização em Londres e explicitamente isenta de responsabilidade por qualquer uso ilegal. Os pesquisadores da Proofpoint notaram que a função de sextorsão parece ser personalizável, permitindo que os atacantes definam a lista de palavras-chave de disparo.
Impacto e Resposta da Indústria
Embora a Proofpoint não tenha identificado vítimas específicas da função de sextorsão, a presença da função sugere que ela provavelmente foi empregada em campanhas em andamento. A adição da captura automatizada da câmera web marca uma partida dos golpes de sextorsão tradicionais, manualmente executados, e reflete uma tendência mais ampla de cibercriminosos se concentrando em extorsão individual em vez de ataques de ransomware em larga escala. As empresas de segurança aconselham os usuários a serem cautelosos com anexos ou links de e-mail não solicitados e a manter defesas anti-malware atualizadas.