Les chercheurs d’ESET ont découvert une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé « Varenyky » par les chercheurs d’ESET. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner les écrans de ses victimes lorsqu’elles regardent du contenu sexuel en ligne.
Cette campagne de spam est apparue sur le radar des chercheurs ESET lors d’un premier pic de distribution en mai 2019, et n’a pas cessé d’évoluer depuis. « Nous pensons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l’avons vu. Comme toujours, nous recommandons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que leur système et leurs logiciels de sécurité sont tous à jour », explique Alexis Dorais-Joncas, chercheur principal au centre de R&D ESET à Montréal.
Les victimes de Varenyky sont en effet infectées en ouvrant une pièce jointe malveillante reçue dans un spam. Pour changer, celui-ci est rédigé dans un très bon français, ce qui pourrait indiquer que ses opérateurs parlent couramment notre langue. Une fois ouvert, le document piégé exécute la charge utile malveillante, qui amorce à son tour le processus d’infection.
Enfin, lorsque l’infection est achevée, Varenyky se met au travail et lance le logiciel Tor afin d’établir une communication anonyme avec son serveur de Commandes & Contrôle. À partir de ce moment, l’activité criminelle à proprement parler peut commencer. « Le code malveillant lancera deux tâches en parallèle : l’une chargée de l’envoi des spams et l’autre de l’exécution sur l’ordinateur de la victime des commandes reçues depuis son serveur contrôle », détaille Alexis Dorais-Joncas. « L’une de ses capacités les plus dangereuses est qu’il recherche des mots-clés spécifiques tels que le terme ‘bitcoin’ et des mots liés à la pornographie. Si de tels mots sont trouvés, Varenyky commence alors à enregistrer l’écran de l’ordinateur et télécharge ensuite l’enregistrement sur le serveur C&C », ajoute le chercheur. Les commandes dont disposent les opérateurs leur permettent en effet de prendre des captures d’écran, mais aussi de lire les textes qui s’y affichent.
Nous connaissions déjà bien entendu les fausses campagnes de sextorsion, dans lesquels les criminels ne détenaient pas réellement d’images incriminantes de la victime. Mais la diffusion de Varenyky pourrait très bien conduire cette fois à de véritables campagnes de ce type. Sans compter que celles-ci pourraient être autofinancées en parallèle par la capacité de vol d’identifiants des portefeuilles Bitcoin embarquée par ce malware.
« Il faut également ajouter que Varenyky est aussi capable de voler les mots de passe, grâce au déploiement d’une application potentiellement dangereuse », explique Alexis Dorais-Joncas.
Sans grande originalité, les spams envoyés par le bot conduisent les victimes sur des sites de fausses promotions pour des smartphone, dont le seul but est de dérober leurs informations personnelles et les données de paiement. Un seul bot Varenyky peut envoyer jusqu’à 1 500 e-mails par heure.
Enfin, il est intéressant de noter que les cibles de tous les spams que nous avons observés étaient des utilisateurs du fournisseur d’accès Internet Orange.
Pour plus de détails sur cette étude, lisez "Varenyky : spambot à la Française" sur WeLiveSecurity.com/fr et suivez les chercheurs ESET sur Twitter.
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr