Un malware de botnet de una década que actualmente controla más de 450,000 computadoras en todo el mundo recientemente cambió sus operaciones de infectar máquinas con ransomware o criptomineros a abusar de ellos para enviar correos electrónicos de sextorsión a millones de personas inocentes.
La extorsión por correo electrónico está creciendo significativamente, con una gran cantidad de usuarios que recientemente se quejaron de recibir correos electrónicos de extorsión sexual que intentan extorsionar a las personas mediante el chantaje para que expongan su contenido sexual.
Aunque hasta ahora no estaba claro cómo los estafadores enviaban cantidades tan grandes de correos electrónicos sin ser incluidos en la lista negra de los proveedores de correo electrónico, los investigadores de seguridad de CheckPoint finalmente encontraron el bloque que faltaba en este rompecabezas.
En su último informe compartido con The Hacker News antes del lanzamiento, la empresa de seguridad con sede en Tel Aviv Control revela que una botnet, llamada Forpiexse actualizó recientemente para incluir un bot de spam diseñado para usar computadoras comprometidas como servidores proxy para enviar más de 30,000 correos electrónicos de sextorsión por hora, sin el conocimiento de los propietarios de las computadoras infectadas.
¿Cómo funciona el robot de spam Phorpiex?
El módulo de spambot de Phorpiex descarga la lista de direcciones de correo electrónico de sus objetivos/recibos desde un servidor remoto de comando y control y utiliza una implementación simple del protocolo SMTP para enviar correos electrónicos de sextorsión.
«Luego, se selecciona aleatoriamente una dirección de correo electrónico de la base de datos descargada y se compone un mensaje a partir de varias cadenas codificadas. El bot de spam puede producir una gran cantidad de correos electrónicos no deseados, hasta 30,000 por hora. Cada campaña individual de spam puede cubrir hasta 27 millones de víctimas potenciales”, explican los investigadores.
«El bot de spam crea un total de 15 000 subprocesos para enviar mensajes de spam desde una base de datos. Cada subproceso toma una línea aleatoria del archivo descargado. El siguiente archivo de la base de datos se descarga cuando finalizan todos los subprocesos de spam. Si consideramos los retrasos, podemos estimar ese bot es capaz de enviar unos 30.000 correos electrónicos en una hora».
Para intimidar a los destinatarios inocentes, los delincuentes detrás de estas campañas de sextorsión también agregan una de las contraseñas en línea de las víctimas en la línea de asunto o contenido del correo electrónico de sextorsión, lo que hace más convincente que el hacker conoce sus contraseñas y podría tener acceso a su contenido privado.
En realidad, estas combinaciones de direcciones de correo electrónico y contraseñas de los destinatarios fueron seleccionadas de varias bases de datos previamente comprometidas. Por lo tanto, las contraseñas que se muestran a las víctimas no pertenecen necesariamente a sus cuentas de correo electrónico; podría ser antiguo y estar relacionado con cualquier servicio en línea.
«La base de datos descargada es un archivo de texto que contiene hasta 20 000 direcciones de correo electrónico. En varias campañas, observamos de 325 a 1363 bases de datos de correo electrónico en un servidor de C&C. Por lo tanto, una campaña de spam cubre hasta 27 millones de víctimas potenciales. Cada línea de este archivo contiene correo electrónico y contraseña delimitados por dos puntos «, dicen los investigadores.
La misma campaña de sextorsión impulsada por una botnet similar o la misma también ha sido nombrada como ataques de malware «Sálvate a ti mismo» por otros equipos de investigadores.
En más de cinco meses, los ciberdelincuentes detrás de esta campaña han ganado más de 11 BTC, equivalentes a aproximadamente $ 88,000. Aunque la cifra no es enorme, los investigadores dicen que los ingresos reales obtenidos por los piratas informáticos podrían ser mayores, ya que no monitorearon las campañas de sextorsión en los años anteriores.