Cybersecurity onderzoekers hebben malware ontdekt die audio en video opneemt als de gebruiker van de besmette machine pornosites bezoekt. Het opgenomen materiaal kan mogelijk worden gebruikt om het slachtoffer af te persen (sextortion).
'PsiXBot' is de naam van deze malware en verspreidt zich via Word-documenten met kwaadaardige macro's en oude kwetsbaarheden in Adobe Flash Player en Internet Explorer waarvoor al anderhalf jaar beveiligingsupdates beschikbaar zijn. Eenmaal actief op een systeem kan de malware toetsaanslagen opslaan, cryptovaluta delven, spam versturen, wachtwoorden en cookies stelen en aanvullende code uitvoeren.
Onlangs is er een nieuwe versie van 'PsiXBot-malware' ontdekt die een verzameling van pornografie gerelateerde woorden gebruikt om de open browservensters van de gebruiker te monitoren. Zodra er een pornosite wordt bezocht zal de malware audio en video (schermopname) van de besmette machine opnemen. Het gemaakte avi-bestand wordt vervolgens terug naar de cybercrimineel gestuurd, mogelijk voor chantagedoeleinden (sextortion), aldus Proofpoint.
Vorige maand werd al een ander malware-exemplaar genaamd 'Varenyky' ontdekt dat bij bezoek van pornosites opnames van de desktop maakt. Cybercriminelen hebben in het verleden veelvuldig afpersingsmails gestuurd waarin werd geclaimd dat het bezoek van pornosites was opgenomen. Slachtoffers moesten betalen om verspreiding van de zogenaamd gemaakte beelden te voorkomen. Hoewel er bij deze afpersingsmails geen opnamen waren, wisten criminelen desondanks honderdduizenden euro's op te halen.
De modulaire malware wordt al een tijdje nauwlettend in de gaten gehouden door meerdere beveiligingsbedrijven, omdat het sterk aan het evolueren is, nieuwe tactieken ontwikkelt en uit de bètafase kwam met een 1.0-versie. Fox-IT publiceerde bijvoorbeeld eerder dit jaar een analyse van 'PsiXBot'. Zo voegden de makers een fast-flux infrastructuur toe, waarmee IP-adressen snel dynamisch worden gewisseld, zodat het blacklisten van malafide adressen dweilen met de kraan open is. Ook wordt DNS over HTTPS nu gebruikt.
De malware heeft nu ook een module genaamd StartPorn toegevoegd die activeert als bepaalde sleutelwoorden worden gedetecteerd. Opnamefuncties van de camera en microfoon worden op dat moment ingeschakeld, schrijft beveiligingsbedrijf Proofpoint. De aangemaakte .avi wordt vervolgens naar een C&C gestuurd, zodat afpersers vervolgens hun slachtoffers kunnen benaderen met dit beeldmateriaal.
Proofpoint eerder dit jaar over de malware: "Sinds de malware is opgedoken in 2017 is het veel wijzigingen doorlopen, waardoor het een competente en relevante dief is." Volgens het bedrijf laten de veranderingen zien dat de makers of groep erachter hard werkt om deze malware competitief te maken. De malware is verder breed inzetbaar. Hij heeft namelijk ook modules om cryptovaluta-sleutels op te merken in het klembord, een RAT-module, keylogger, module die wachtwoorden en cookies steelt, en een spammodule.
Bron: proofpoint, webwereld, security
Reactie plaatsen
Reacties