fbpx

I ricercatori di Check Point, esperti di sicurezza informatica, hanno scoperto come vengono diffuse campagne di Sextortion.

Cos’è la Sextortion?

Una sextortion è quando si riceve un’e-mail con una richiesta di pagamento di una somma di denaro per evitare la diffusione di contenuti sessuali acquisiti, solitamente, tramite la webcam. Attraverso un progetto di ricerca della durata di cinque mesi, i ricercatori di Check Point hanno scoperto un malware molto grande e “normale” che utilizza le vittime infette per inviare inconsapevolmente e-mail di sextortion in modo massiccio, in modo simile a una macchina. La velocità e il volume delle e-mail generate è sbalorditivo!

Di che malware si tratta?

Il malware in questione si chiama Phorpiex. Attivo da circa un decennio, Phorpiex ha infettato oltre 450.000 host e questo numero sta crescendo rapidamente. In passato, Phorpiex ha monetizzato soprattutto distribuendo varie altre famiglie di malware e ha utilizzato i suoi host per estrarre valuta criptata, ma recentemente abbiamo visto che Phorpiex ha aggiunto una nuova forma di generazione di reddito alle proprie capacità: un bot spam utilizzato per gestire le più grandi campagne di sextortion su larga scala che sia stato mai visto.

Come funziona?

Phorpiex utilizza un bot spam che scarica un database di indirizzi e-mail da un server C&C. Quello che succede dopo è che un indirizzo e-mail viene selezionato casualmente dal database scaricato e viene composto un messaggio utilizzando diverse stringhe hardcoded.

Il bot spam può produrre una quantità astronomicamente grande di e-mail di sextortion: il bot spam crea un totale di 15.000 thread per inviare messaggi spam da un database. Ogni thread prende una stringa casuale dal file scaricato. Il file di database successivo viene scaricato quando tutti i thread di spam finiscono. Se consideriamo i ritardi, si può stimare che il bot è in grado di inviare circa 30.000 e-mail in un’ora. E, ogni singola campagna di sextortion può coprire fino a 27 milioni di potenziali vittime.

Phorpiex utilizza database con password intercettate o trapelate in combinazione con indirizzi e-mail. La password di una vittima viene solitamente inclusa in un messaggio e-mail per renderlo più persuasivo, dimostrando che la sua password è nota all’hacker. 

sextortion

Le e-mail in questo attacco iniziano con la password per colpire la vittima.

Per inviare e-mail, Phorpiex utilizza una semplice implementazione del protocollo SMTP. L’indirizzo del server SMTP deriva dal nome di dominio di un indirizzo e-mail. Dopo aver stabilito una connessione al server SMTP e aver ricevuto un messaggio di invito, il bot spam invia un messaggio con il proprio indirizzo IP esterno.

Per incassare il denaro estorto vengono utilizzati Bitcoin wallet

Check Point ha registrato trasferimenti di oltre 11 BTC ai portafogli di Phorpiex durante i cinque mesi di osservazione e ricerca.


Roberta Catania

author-publish-post-icon
Da sempre grande lettrice di libri e fumetti, amante della tecnologia, del cinema e delle serie TV. Nella vita di tutti i giorni mi divido tra il Diritto, la Psicologia e la Criminologia. Personaggio preferito: Barbara Gordon - Citazione preferita "I promise loyalty. I promise secrecy and I promise courage" - Oracle