La nuova frontiera dei cyber criminali si chiama “sextortion”. Succede sempre più spesso di vedersi arrivare email da persone sconosciute che affermano di essere in possesso di informazioni compromettenti, con la minaccia di segnalare numerose attività illecite.
In generale, queste email si concludono con la richiesta di un semplice pagamento per evitare la pubblicazione delle presunte informazioni compromettenti.
I ricercatori di Proofpoint, società specializzata in soluzioni di security messaging, hanno rilevato una vera e propria campagna di sextortion, dove la maggior parte dei messaggi non conteneva link o allegati, ma un avviso sull’avvenuta compromissione del computer del destinatario da parte di uno spyware o di un keylogger. Per rendere l’email ancora più credibile, spesso vengono incluse:
- una password associata all’account di posta, ottenuta in occasione di precedenti violazioni dei dati;
- informazioni ottenute da fonti aperte, ad esempio il nome del coniuge, del datore di lavoro o l’occupazione;
- accuse di comportamenti online scorretti o della presenza di file inappropriati archiviati sul dispositivo;
- richiesta di pagamento in Bitcoin per evitare la segnalazione dei presunti comportamenti scorretti su Internet o ai contatti del destinatario.
Lo scorso 5 dicembre, gli esperti hanno rilevato una nuova campagna di sextortion costituita da migliaia di messaggi inviati a diversi target, principalmente negli Stati Uniti. Il messaggio è il consueto, ma include anche un link che presume di condurre al video delle attività compromettenti registrato dal dispositivo. In realtà, il link porta allo stealer AZORult, il quale a sua volta installa il ransomware GandCrab versione 5.0.4 con ID affiliato “168;777”.
Se la potenziale vittima clicca, procede con l’installazione di ransomware GandCrab che richiederà un pagamento di 500 dollari in Bitcoin o DASH.