Vous encouragez rarement un cybercriminel, mais une nouvelle campagne de logiciels malveillants ciblant les exploiteurs d’enfants ne vous fait pas vous sentir mal pour les victimes.
Depuis 2012, les acteurs de la menace créent une variété de logiciels malveillants et de ransomwares qui prétendent être des agences gouvernementales avertissant les utilisateurs Windows infectés qu’ils consultaient CSAM. Le logiciel malveillant indique aux victimes qu’elles doivent payer une « pénalité » pour empêcher que leurs informations ne soient envoyées aux forces de l’ordre.
L’une des premières opérations de ransomware « modernes », appelée Protection contre le spam Anti-pornographie juvénile ou ACCDFISA, a utilisé cette tactique d’extorsion combinée au verrouillage initial des bureaux Windows et au cryptage des fichiers dans les versions ultérieures.
Bientôt ont suivi d’autres familles de logiciels malveillants qui prétendaient être des forces de l’ordre émettant des amendes pour avoir regardé CSAM, telles que Harasom, Urausy et les chevaux de Troie Reveton.
Un héros improbable
La semaine dernière, le chercheur en cybersécurité MalwareHunterTeam a partagé un échantillon d’un exécutable de malware avec Breachtrace appelé « CryptVPN » [VirusTotal] en utilisant des tactiques d’extorsion similaires.
Cependant, cette fois, plutôt que de cibler des innocents, le développeur de logiciels malveillants cible ceux qui recherchent activement la pornographie juvénile.
Après avoir recherché le malware, Breachtrace a découvert que les auteurs de la menace avaient créé un site Web pour se faire passer pour UsenetClub, un service d’abonnement pour un accès « non censuré » aux images et vidéos téléchargées à partir de Usenet.
Usenet est une plateforme de discussion en ligne permettant aux gens de discuter de divers sujets dans des « groupes de discussion » auxquels ils sont abonnés. Alors que Usenet est utilisé pour des discussions valables sur un large éventail de questions, il est également une source connue de pornographie juvénile.
Un faux site créé par les acteurs de la menace prétend être UsenetClub, offrant trois niveaux d’abonnement au contenu du site. Les deux premiers sont des abonnements payants allant de 69,99 per par mois à 279,99 per par an.
Cependant, une troisième option prétend fournir un accès gratuit après avoir installé un logiciel gratuit « CryptVPN » et l’avoir utilisé pour accéder au site.
En cliquant sur le bouton » Télécharger et installer », vous téléchargerez un CryptVPN.fichier zip du site qui, une fois extrait, contient un raccourci Windows appelé « CLIQUEZ-ICI-POUR-INSTALLER ».
Ce fichier est un raccourci vers PowerShell.exécutable exe avec des arguments pour télécharger le CryptVPN.exécutable exe, enregistrez-le dans C:\Windows\Tasks.exe, et exécutez-le.
L’exécutable du malware est emballé avec UPX, mais lorsqu’il est décompressé, il contient une chaîne PDB qui indique que l’auteur a appelé le malware « PedoRansom ».
C:\Users\user\source\repos\PedoRansom\x64\Release\PedoRansom.pdb
Il n’y a rien de spécial à propos du malware car tout ce qu’il fait est de changer le fond d’écran de la cible en une demande d’extorsion et de déposer une demande de rançon nommée LISEZ-MOI.TXT sur le bureau, contenant des menaces d’extorsion similaires.
« Vous recherchiez du matériel d’exploitation et/ou d’abus sexuel d’enfants. Vous avez été assez stupide pour vous faire pirater », lit-on dans la demande d’extorsion.
« Nous avons collecté toutes vos informations, maintenant vous devez nous payer une rançon ou votre vie est finie. »
L’extorsion poursuit en indiquant que la personne doit payer 500 $à l’adresse Bitcoin bc1q4zfspf0s2gfmuu8h5k0679sxgxjkd7aj5e6qyl dans les dix jours ou ses informations seront divulguées.
Cette adresse bitcoin n’a reçu qu’environ 86 payments de paiements pour le moment.
Les acteurs de la menace utilisent depuis longtemps des tactiques de » sextorsion », envoyant généralement des courriels en masse à un grand nombre de personnes pour essayer de les effrayer et de les inciter à payer une demande d’extorsion.
Ces tactiques ont très bien fonctionné au départ, les spammeurs extorquant plus de 50 000 weekly par semaine au début des campagnes.
Cependant, au fil du temps et au fur et à mesure que les destinataires de ces escroqueries sont devenus plus sages, les campagnes de sextorsion ne génèrent plus les mêmes revenus qu’auparavant.
Bien que cette campagne particulière soit un peu plus inventive et effraiera de nombreuses personnes à la recherche de ce type de contenu, nous ne verrons probablement pas beaucoup de gens payer cette demande d’extorsion.