Dopo l’ondata di quest’estate di ricatti con estorsione in bitcoin e minaccia di divulgare video ripresi dalla webcam del proprio PC a seguito di un hack arriva oggi una nuova ondata di estorsioni di tipo “sextorsion“, sempre via mail, ma questa volta con argomentazioni diverse e completamente in italiano.
I criminali comunicano ora a numerosi utenti ignari (le cui email sono state prelevate online probabilmente da diverse fonti) di aver bucato il loro account di posta elettronica scaricando tutte le informazioni riservate e, come se non bastasse, hanno installato anche un trojan sul sistema tramite il quale hanno ripreso attraverso la webcam la povera vittima durante la visione di filmati pornografici, sincronizzando persino la ripresa della webcam del PC con il filmato pornografico.
Il delinquente minaccia quindi tramite la sua “sextortion” di divulgare i video e i contenuti acquisiti dalla casella di posta ai contatti della vittima, se questi non paga entro due giorni la modica cifra di 300 dollari a un indirizzo bitcoin del wallet del criminale. In caso di pagamento, il criminale cancellerà tutti i file e filmati “rubati” alla povera vittima tramite l’account di posta e la webcam del PC attivata tramite un trojan/virus installato sui siti porno.
Cosa dice il messaggio di SPAM?
Ecco un esempio di messaggio di “sextortion” (cioè di estorsione a sfondo sesssuale) ricevuto da una delle tante vittime in data odierna:
From: info@_________.it
Subject: Relativamente alle questioni di sicurezza
To: info@_________.it
Ciao, caro utente di _________.itAbbiamo installato un trojan di accesso remoto sul tuo dispositivo.
Per il momento il tuo account email è hackerato (vedi , ora ho accesso ai tuoi account). Ho scaricato tutte le informazioni riservate dal tuo sistema e ho anche altre prove. La cosa più interessante che ho scoperto sono i video dove tu masturbi.
Avevo incorporato un virus sul sito porno dopo di che tu l’hai installato sul tuo sistema operativo. Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan. Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi, in più il software è sincronizzato con video che tu scegli.
Per il momento il software ha raccolto tutte le informazioni sui tuoi contatti dalle reti sociali e tutti gli indirizzi email. Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta). Questo è il mio portafoglio Bitcoin: 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck
Una volta letta questa comunicazione hai 2 giorni a disposizione.Appena hai provveduto alla transazione tutti i tuoi dati saranno cancellati.
Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!E da ora in poi stai più attento!
Per favore, visita solo siti sicuri!
Ciao!
E’ tutto vero? Devo preoccuparmi?
Ovviamente è tutto un bluff, i delinquenti non hanno nulla, non hanno avuto accesso (o “hackerato”, come dicono loro) all’account di posta né incorporato virus su siti porno (cosa che talvolta avviene, in realtà, ma non in questo caso) né installato malware che spiano la webcam degli utenti.
Non c’è quindi motivo di preoccuparsi. A differenza di altre ondate si spam, in questo caso i delinquenti non hanno neanche utilizzato dati provenienti da leak di username e password, accontentandosi di elenchi di indirizzi email probabilmente prelevati dal web, dal whois dei domini o da leak dei quali però non hanno utilizzato le password per “spaventare” le vittime.
Ma l’hacker ha inviato la mail dal mio indirizzo, quindi è entrato…
Uno degli aspetti che turba maggiormente chi riceve questi messaggi è proprio il fatto di vedere come mittente il proprio indirizzo. Questo però non significa che il delinquente ha avuto accesso al proprio account, semplicemente ha forgiato il messaggio in modo da “fingere” la presenza del mittente identica al destinatario, cosa fattibile con programmi d’invio spam, a mano tramite telnet/netcat oppure tramite servizi come Emkei.
Per quanto gli header del messaggio siano ingannevoli, si tratta di intestazioni passate dal software di spam al server SMTP di terminazione della catena degli MTA, quello che ospita la mailbox del ricevente, che può essere più facilmente “ingannato” con header fasulli che, appunto, rendono credibile l’invio di una mail dalla stessa casella che l’ha ricevuta.
Cosa devo fare?
Non c’è bisogno di fare nulla, spesso la mail viene filtrata automaticamente dal provider salvandola nella cartella dello SPAM, quando non fosse è sufficiente ignorarla e cancellarla, dato che non c’è nulla di vero. I criminali non hanno installato alcuno spyware, non hanno bucato caselle di posta o fatto altro, hanno semplicemente preso liste di nomi ed email dal web sperando di trovare vittime che pagassero il riscatto ritenendo attendibile la minaccia.
Qualcuno ha pagato il riscatto?
La speranza dei delinquenti è che chi riceve la mail si senta vulnerabile e, nel dubbio, paghi con una transazione in bitcoin di $ 300 all’indirizzo 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck, che osserviamo è lo stesso per tutte le email. In altri casi di estorsione, l’indirizzo su cui viene richiesto il pagamento del riscatto in bitcoin cambia da utente a utente, rendendo quindi più difficile l’analisi dei pagamenti.
In questo caso, essendo l’address bitcoin su cui il fantomatico “hacker” richiede il versamento del ricatto sempre lo stesso, possiamo visionare sulla blockchain quanto è l’importo a oggi pagato. L’indirizzo bitcoin 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck risulta aver ricevuto a oggi 0.09762462 BTC, corrispondenti a poco più di 500 euro in due transazioni da circa 300 dollari l’una.
Tali transazioni potrebbero essere due pagamenti eseguiti da parte di due vittime che “ci sono cascate” ma anche due versamenti fatti dal delinquente stesso per dimostrare a chi volesse verificare che qualcuno sta pagando, sperando così magari di convincere chi fosse incerto a farlo. I fondi a oggi non sono ancora stati spesi, cosa che permetterebbe di tentare attività di tracciamento, clusterizzazione e potenzialmente deanonimizzazione delle transazioni a meno di una certa attenzione da parte del criminale.
Aggiornamento al 13 settembre 2018: arrivano altri pagamenti e altri indirizzi bitcoin
L’ondata di spam continua e stanno arrivando diversi pagamenti sull’indirizzo del riscatto. A oggi siamo a 11 pagamenti per un totale di quasi 3.000 dollari. A questo punto, l’ipotesi iniziale dei pagamenti fatti dai delinquenti per convincere le vittime della “serietà” della minaccia passa in secondo piano: si tratta evidentemente di pagamenti di riscatto da parte di chi ha ricevuto il messaggio di posta e lo ha ritenuto attendibile.
Sembra che siano state inviate mail con indicazione di ulteriori indirizzi bitcoin su cui ricevere il riscatto. L’utente JAMESWT_MHT mostra su Twitter una mail di spam con l’indirizzo bitcoin 13Bh4xUP37EQgpEdkhZWYuLKMLGfmp1zym, su cui però a oggi non sono ancora stati ricevuti pagamenti. Altri utenti ci segnalano anche l’indirizzo bitcoin 1CSsVgPgwTNLGgQCHRBPa7ZNH7oxK9cf2k sul quale nel messaggio a loro indirizzato viene richiesto il pagamento del riscatto, indirizzo che a oggi ha ottenuto quattro pagamenti per quasi un migliaio di dollari.
Aggiornamento al 14 settembre 2018: il messaggio viene diffuso anche in altre lingue
L’amico Gianluca Varisco ha raccolto in un post su Facebook lo stesso messaggio descritto nel presente post ma in lingua francese e tedesca, con indirizzi bitcoin differenti.
La versione Francese contiene il seguente testo, che invita a pagare 250$ sull’indirizzo bitcoin 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G:
Bonjour, cher utilisateur de xxx.fr
Nous avons installé un logiciel RAT dans votre appareil.
Pour l’instant, votre compte e-mail est piraté (voir pour , j’ai maintenant accès à vos comptes).
J’ai téléchargé toutes les informations confidentielles de votre système et j’ai obtenu des preuves supplémentaires.
La chose la plus intéressante que j’ai découvert est celui des enregistrements vidéo de votre masturbation.J’ai posté mon virus sur un site porno, puis vous l’avez installé sur votre système d’exploitation.
Lorsque vous avez cliqué sur le bouton Play on porn video, à ce moment-là mon troyen a été téléchargé sur votre appareil.
Après l’installation, votre caméra frontale prend une vidéo chaque fois que vous vous masturbez. De plus, le logiciel est synchronisé avec la vidéo de votre choix.Pour le moment, le logiciel a collecté toutes vos informations de contact sur les réseaux sociaux et les adresses e-mail
Si vous devez effacer toutes vos données collectées, envoyez-moi 250$ en BTC (crypto-monnaie).
Ceci est mon portefeuille Bitcoin: 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G
Vous avez 2 jours après avoir lu cette lettre.Après votre transaction, je vais effacer toutes vos données.
Sinon, je vais envoyer une vidéo avec vos farces à tous vos collègues et amis !!!Et désormais, soyez plus prudent!
Visitez uniquement les sites sécurisés!
Au revoir!
La versione Tedesca invita a versare 300 dollari sugli indirizzi bitcoin 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth e 1MZHWpgmUyjmExofPDCmYuVz9kmnTpu6m:
„Subject: Es geht um Ihre Sicherheit.
Hallo, lieber Benutzer von XXXXWir haben eine RAT-Software auf Ihrem Gerät installiert.
Zu dieser Zeit ist Ihr E-Mail-Konto gehackt (siehe , jetzt habe ich den Zugriff auf Ihre Konten).
Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button „Play“ auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.
Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $300 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth
Sie haben 2 Tage nach dem Lesen dieses Briefes.Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!
Autore: Paolo Dal Checco