Spyware automatizado de sextorsão tira fotos de vítimas assistindo pornografia pela webcam

O hacking baseado em sextorsão, que sequestra a webcam da vítima ou a chantageia com fotos nuas que ela é enganada ou coagida a compartilhar, representa há muito tempo uma das formas mais perturbadoras de crime cibernético . Agora, um exemplo de spyware amplamente disponível transformou esse crime relativamente manual em um recurso automatizado, detectando quando o usuário está navegando por pornografia em seu PC, fazendo capturas de tela e tirando uma foto espontânea da vítima pela webcam.

Na quarta-feira, pesquisadores da empresa de segurança Proofpoint publicaram sua análise de uma variante de código aberto do malware "infostealer", conhecido como Stealerium, que a empresa tem visto sendo usado em diversas campanhas de cibercriminosos desde maio deste ano. O malware, como todos os infostealers, é projetado para infectar o computador de um alvo e enviar automaticamente ao hacker uma ampla variedade de dados confidenciais roubados, incluindo informações bancárias, nomes de usuário e senhas, e chaves para as carteiras de criptomoedas das vítimas. O Stealerium, no entanto, adiciona outra forma de espionagem mais humilhante: ele também monitora o navegador da vítima em busca de endereços da web que incluam certas palavras-chave NSFW, captura capturas de tela de guias do navegador que contenham essas palavras, fotografa a vítima pela webcam enquanto ela assiste a essas páginas pornográficas e envia todas as imagens para um hacker — que pode então chantagear a vítima com a ameaça de divulgá-las.

“Quando se trata de ladrões de informações, eles geralmente procuram qualquer coisa que possam obter”, diz Selena Larson, uma das pesquisadoras da Proofpoint que trabalhou na análise da empresa. “Isso adiciona outra camada de invasão de privacidade e informações confidenciais que você definitivamente não gostaria que caíssem nas mãos de um hacker em particular.”

"É nojento", acrescenta Larson. "Eu odeio isso."

A Proofpoint investigou os recursos do Stealerium após encontrar o malware em dezenas de milhares de e-mails enviados por dois grupos de hackers diferentes que monitora (ambos operações cibercriminosas de escala relativamente pequena), bem como em diversas outras campanhas de hacking por e-mail. O Stealerium, curiosamente, é distribuído como uma ferramenta gratuita e de código aberto disponível no GitHub. O desenvolvedor do malware, conhecido como witchfindertr e que se descreve como um "analista de malware" baseado em Londres, observa na página que o programa é "apenas para fins educacionais".

"Como você usa este programa é sua responsabilidade", diz a página. "Não serei responsabilizado por nenhuma atividade ilegal. Nem dou a mínima para como você o usa."

Nas campanhas de hacking analisadas pela Proofpoint, os cibercriminosos tentaram induzir os usuários a baixar e instalar o Stealerium como anexo ou link da web, atraindo as vítimas com iscas típicas, como um pagamento ou fatura falsa. Os e-mails tinham como alvo vítimas dentro de empresas do setor de hospitalidade, educação e finanças, embora a Proofpoint observe que usuários de fora das empresas também provavelmente eram alvos, mas não eram detectados por suas ferramentas de monitoramento.

Uma vez instalado, o Stealerium é projetado para roubar uma ampla variedade de dados e enviá-los ao hacker por meio de serviços como Telegram, Discord ou o protocolo SMTP em algumas variantes do spyware, todos relativamente comuns em infostealers. Os pesquisadores ficaram ainda mais surpresos ao ver o recurso automatizado de sextorsão, que monitora URLs do navegador em busca de uma lista de termos relacionados à pornografia, como "sexo" e "pornografia", que pode ser personalizado pelo hacker e acionar capturas simultâneas de imagens da webcam e do navegador do usuário. A Proofpoint observa que não identificou nenhuma vítima específica dessa função de sextorsão, mas sugere que a existência do recurso significa que ele provavelmente já foi usado.

Métodos mais práticos de sextorsão são uma tática comum de chantagem entre cibercriminosos, e campanhas fraudulentas nas quais hackers afirmam ter obtido fotos de webcam de vítimas visualizando pornografia também têm infestado caixas de entrada nos últimos anos — incluindo algumas que tentam reforçar sua credibilidade com fotos da casa da vítima retiradas do Google Maps. Mas fotos reais e automatizadas de webcam de usuários navegando em pornografia são "praticamente inéditas", diz o pesquisador da Proofpoint, Kyle Cucci. O único exemplo semelhante conhecido, diz ele, foi uma campanha de malware que teve como alvo usuários de língua francesa em 2019 , descoberta pela empresa eslovaca de segurança cibernética ESET.

A mudança para atingir usuários individuais com recursos automatizados de sextorsão pode ser parte de uma tendência maior de alguns criminosos cibernéticos — principalmente grupos de nível inferior — que estão se afastando de campanhas de ransomware de grande escala e alta visibilidade e botnets que tendem a atrair a atenção das autoridades, diz Larson, da Proofpoint.

“Para um hacker, não é como se estivesse derrubando uma empresa multimilionária que vai causar impactos e consequências graves”, diz Larson, contrastando as táticas de sextortion com as operações de ransomware que tentam extorquir quantias de sete dígitos das empresas. “Eles estão tentando monetizar as pessoas uma de cada vez. E talvez pessoas que possam ter vergonha de denunciar algo assim.”