Sextortion met Ransom mails in omloop

Gepubliceerd op 7 december 2018 om 20:55

Steeds meer sextortion mails waarbij gebruik wordt gemaakt van 'social engineering' in omloop

In de e-mails naar potentiële slachtoffers worden de ontvangers geconfronteerd met de mededeling dat de verzender van het bericht toegang heeft tot de computer van het slachtoffer dankzij een 'keylogger' of 'spyware' en dat er op de computer, tablet, enz naaktfoto's of ander gevoelig materiaal is gevonden en gedownload.

Om de mail geloofwaardiger te maken, wordt er soms een door een eerder datalek verkregen wachtwoord van het slachtoffer getoond. De informatie wordt vaak nog aangevuld met via social media verkregen persoonlijke informatie zoals bijvoorbeeld de naam van een partner, werkgever of het beroep van het slachtoffer. De ontvanger van de mail wordt vervolgens afgeperst. Het slachtoffer kan de zogenaamde publicatie van privégegevens voorkomen als er 500 dollar in 'bitcoins' of 'DASH' (cryptogeld) wordt betaald.

Ransomware

In de mail wordt gelinkt naar een video die van de computer van het slachtoffer zou zijn gedownload. De videolink leidt de ontvanger van de mail echter naar een '.tk' (net zoiets als .nl .com .be) adres geleid waar 'AZORult' malware wordt gebruikt om 'GandCrab' ransomware bij het slachtoffer te installeren.

Proofpoint zegt de mail campagne al maandenlang te volgen. Afgelopen week steeg het aantal mails in de Verenigde Staten aanzienlijk. "Deze aanval combineert verschillende social engineering methodes waarbij kwetsbare en geschrokken slachtoffers worden verleid om op de link te klikken om te controleren of de aanvaller echt gevoelig materiaal in handen heeft van het slachtoffer", stelt Proofpoint.

Niet klikken

De onderzoekers stellen dat ontvangers van sextortion mails er vanuit moeten gaan dat de afzender geen gevoelig materiaal in handen heeft. Zij geven het advies nooit op de zogenaamde controle-links in de mail te klikken om besmetting met malware of ransomware te voorkomen.

Gemeenschappelijke sextortion technieken

Proofpoint onderzoekers observeren al maandenlang de sextortion- campagnes, de meeste mails zijn zonder links of bijlagen. Ze omvatten over het algemeen:

  1. Een waarschuwing dat de computer van de ontvanger geïnfecteerd is met 'spyware' of een 'keylogger'

  2. Om de e-mail geloofwaardiger te maken, worden vaak onderstaande argumenten gebruikt:

    1. Ze geven een wachtwoord op dat bekend is of ooit eerder gebruikt is door je, vaak verkregen via eerdere datalekken.

    2. Er wordt informatie gebruikt die kan worden verkregen uit open bronnen, zoals echtgenoot, werkgever of beroep.

  3. Er wordt beweert dat ze gevoelig materiaal van je in bezit hebben, door dat ze toegang hebben gehad tot je bestanden.

  4. Maar door een bedrag te betalen in Bitcoins wordt het materiaal niet verspreid.

Sextortion campagne met ransomware van 5 december 2018

Op 5 december ontdekten we een nieuwe campagne met sextortion mails, waarbij duizenden berichten werden verstuurd naar verschillende doelgroepen, voornamelijk in de Verenigde Staten. Hieronder een voorbeeld van zulke mail.

Sextortion e-mail van 5 december 2018, met een URL die linkt naar 'AZORult stealer'

Deze email campagne bevat ook een link die je uitlokt tot het klikken

Als je vervolgens op de link klikt wordt de 'GandCrab' ransomware geïnstalleerd. GandCrab eist in dit geval een betaling van $ 500 in Bitcoin of DASH.

Betalingsportaal voor 'GandCrab'

Bron: Proofpoint.com, diverse

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.