Un malware de botnet de una década de antigüedad que actualmente controla más de 450,000 computadoras en todo el mundo ha cambiado recientemente sus operaciones de infectar máquinas con ransomware o cripto mineros a abusar de ellas por enviar correos electrónicos de distorsión sexual a millones de personas inocentes.

La extorsión por correo electrónico está creciendo significativamente, con un gran número de usuarios quejándose recientemente de recibir correos electrónicos de sextortion que intentan extorsionar a las personas chantajeándolas para exponer su contenido sexual.

Aunque hasta ahora, no estaba claro cómo los estafadores enviaban cantidades tan enormes de correos electrónicos sin ser incluidos en la lista negra por los proveedores de correo electrónico, los investigadores de seguridad de CheckPoint finalmente encontraron el bloque que faltaba en este rompecabezas.

En su último informe compartido con The Hacker News antes del lanzamiento, la firma de seguridad con sede en Tel Aviv CheckPoint revela que una botnet, llamada Phorpiex , se ha actualizado recientemente para incluir un bot de spam diseñado para usar computadoras comprometidas como servidores proxy para enviar más de 30,000 correos electrónicos de sextortion por hora, sin el conocimiento de los propietarios de las computadoras infectadas.

¿Cómo funciona Phorpiex Spam Bot?

El módulo de spambot de Phorpiex descarga la lista de direcciones de correo electrónico de sus destinatarios / recibos desde un servidor de comando y control remoto y utiliza una implementación simple del protocolo SMTP para enviar correos electrónicos de distorsión sexual.

Phorpiex Sextortion Correo electrónico

 

«Luego, se selecciona aleatoriamente una dirección de correo electrónico de la base de datos descargada, y un mensaje se compone de varias cadenas codificadas. El bot de spam puede producir una gran cantidad de correos electrónicos no deseados, hasta 30,000 por hora. Cada campaña de spam individual puede cubrir hasta 27 millones de víctimas potenciales «, explican los investigadores.

«El bot de spam crea un total de 15,000 hilos para enviar mensajes de spam desde una base de datos. Cada hilo toma una línea aleatoria del archivo descargado. El siguiente archivo de base de datos se descarga cuando finalizan todos los hilos de spam. Si consideramos los retrasos, podemos estimar ese bot puede enviar unos 30,000 correos electrónicos en una hora «.

Para intimidar a los destinatarios inocentes, los delincuentes detrás de estas campañas de sextortion también agregan una de las contraseñas en línea de las víctimas en la línea de asunto o el contenido del correo electrónico de sextortion, lo que hace que sea más convincente que el pirata informático conozca sus contraseñas y pueda tener acceso a su contenido privado.

En realidad, estas combinaciones de direcciones de correo electrónico y contraseñas de destinatarios fueron seleccionadas de varias bases de datos previamente comprometidas. Por lo tanto, las contraseñas que se muestran a las víctimas no necesariamente pertenecen a sus cuentas de correo electrónico; podría ser antiguo y estar relacionado con cualquier servicio en línea.

«La base de datos descargada es un archivo de texto que contiene hasta 20,000 direcciones de correo electrónico. En varias campañas, observamos de 325 a 1363 bases de datos de correo electrónico en un servidor de C&C. Por lo tanto, una campaña de spam cubre hasta 27 millones de víctimas potenciales. Cada línea de este archivo contiene correo electrónico y contraseña delimitados por dos puntos «, dicen los investigadores.

La misma campaña de sextortion impulsada por una botnet similar o la misma también ha sido nombrada como ataques de malware » Save Yourself » por otros equipos de investigadores.

En más de cinco meses, los ciberdelincuentes detrás de esta campaña han obtenido más de 11 BTC, lo que equivale a aproximadamente $ 88,000. Aunque la cifra no es enorme, los investigadores dicen que los ingresos reales obtenidos por los piratas informáticos podrían ser mayores, ya que no monitorearon las campañas de sextortion en los años anteriores.

Fuente: thehackernews.com

Compartir