Pozor na spambot, který nahrává své oběti při sledování pornografie

Škodlivý kód označený jako Varenyky má několik nebezpečných funkcí. Skutečně natáčí inkriminující video svých obětí, krade citlivé údaje, může být zneužit k rozesílání spamu a dokáže také odcizit hesla.

"Varenyky je škodlivý kód distribuovaný pomocí spamové kampaně v podobě falešné faktury za zboží, kterou má uživatel údajně ověřit. Malware disponuje řadou nebezpečných funkcí, počínaje možností stáhnout a spustit další malware, komunikací s řídícím server pomocí sítě TOR a konče třeba schopností spamovat, krást hesla nebo nahrávat dění na obrazovce. To, co je na Varenyky neobvyklé, je skutečnost, že si pro svoji nekalou činnost vybírá právě a pouze jen francouzsky mluvící uživatele a to navíc pouze pokud mají ve svém operačním systému nastavenu jako domovskou zemi Francii," říká Miroslav Dvořák, technický ředitel pražské pobočky společnosti ESET.

Vyděračské kampaně, které požadují výkupné za nezveřejnění údajné nahrávky ze sledování stránek se sexuální tématikou, známe dobře i z České republiky. V tomto případě však skutečně nahrávka vzniká a operátoři Varenyky by ji mohli k vydírání zneužít. To se zatím nestalo a důvod proč k nahrávání dochází, tak není zcela zřejmý.

Od 22. 7. 2019 začal Varenyky rozesílat nový druh spamu obsahující i z Čech známou a výše zmíněnou podvodnou vyděračskou kampaň - jejím cílem jsou uživatelé domén wanadoo.fr a orange.fr.

Vyděrači v ní požadují za nezveřejnění údajné nahrávky sledování pornostránek platbu v bitcoinech odpovídající částce 750 eur, tedy bezmála 20 tisíc korun.

Malware se šířil z infikované přílohy e-mailu

Rozmach činnosti nového spamovacího bota se v telemetrii společnosti ESET objevil v květnu 2019. Při následném zkoumání jeho činnosti zjistili výzkumní pracovníci z ESETu, že se jedná o projev činnosti malware pojmenovaného Varenyky.

K prvotní infiltraci použili jeho tvůrci notnou dávku sociálního inženýrství v podobě e-mailu s přílohou, kterou tvoří infikovaný wordovský dokument předstírající fakturu za zboží a útočníci žádají jeho verifikaci.

Dokument po otevření manipuluje uživatelem tak, aby povolením maker a úprav v dokumentu spustil tzv. downloader, který stáhne vlastní škodlivý kód.

Kampaň Varenyky cílila výhradně na francouzsky hovořící uživatele ve Francii. Z analýz použitých textů, resp. velmi dobré úrovně gramatiky a znalosti jazyka, lze usuzovat, že nejde o strojový překlad, ale útočníci mluví nejspíše plynně francouzsky.

Jakmile Varenyky infikuje zařízení, dojde k jeho spuštění. Jedno z vláken jeho procesu má za úkol rozesílat spam a to druhé plnit příkazy z kontrolního serveru.

Jeden z nejnebezpečnějších aspektů je, že malware vyhledává ve spuštěných aplikacích klíčová slova jako bitcoin či slova spojená s pornografií. Pokud nalezne některé z nich, začne program nahrávat dění na obrazovce a posléze nahrávku odešle na kontrolní server.

Spam, resp. phishing, který malware Varenyky od května rozesílal, měl podobu reklamní nabídky ke koupi chytrého telefonu a cílil opět pouze na francouzské uživatele společnosti Orange S.A.

Cílem této kampaně byla snaha získat osobní údaje a informace o platebních kartách. Jediný takovýto bot dokázal rozeslat až 1500 e-mailů za hodinu.

Další pozoruhodnou funkcí tohoto malware je schopnost odcizit uživateli hesla uložená ve webovém prohlížeči nebo poštovním klientovi. Zneužívá k tomu aplikace, které mají sloužit k obnově zapomenutých hesel.

Jak se chránit před Varenyky

Experti uživatelům radí, aby byli opatrní při otevírání příloh e-mailů z neznámých zdrojů. Obezřetní bychom měli být i v reakcích na lákavé reklamní nabídky. Škodlivé přílohy útočníci v minulosti maskovali třeba jako faktury, exekuční příkazy, poukázky obchodních řetězců apod.

Pokud vám tedy dojde urgentní výzva k úhradě nebo neodolatelná nabídka, je dobré zachovat chladnou hlavu a legitimitu sdělení si ověřit i z jiných zdrojů, např. telefonicky.

Základem obrany je také spolehlivý bezpečnostní program a aktualizace všech instalovaných programů i operačního systému počítače.