Nos últimos tempos, as campanhas de sextortion por e-mail têm crescido muito, já que se provaram repetidamente como um método bastante significativo e eficaz para produzir dinheiro fácil para os criminosos. Uma campanha de extorsão “sexual” é basicamente quando um indivíduo recebe um e-mail informando-o que ele foi observado enquanto navegava em websites para adultos.
Ao que parece uma recente campanha está a distribuir o ransomware GandCrab e o Trojan Azorult como forma de infetar as vítimas.
A primeira infecção, Azorult, é utilizada para roubar dados do PC do utilizador, por exemplo, logins de contas, cookies, documentos, histórico de conversas, e isso é só o começo. Nesse momento, instala o GandCrab Ransomware, que cifra as informações do computador da vítima.
Tem havido numerosos casos sendo contabilizados geralmente casos de credential stuffing, nomeadamente, são utilizadas contas de utilizador vazadas no passado em brechas de segurança já conhecidas. Dessa forma estes e-mails de extersão parecem ser genuínos aos olhos das vítimas.
Investigadores da ProofPoint detetaram outra campanha que, ao contrário de conter um endereço de bitcoin para enviar um pagamento de resgate, solicita à vitima que faça o download de um vídeo onde aparece a vítima a realizar atos de caris “privado e sexual”. O documento compactado descarregado, contém um executável que instalará o malware no computador.
“However, this week Proofpoint researchers observed a sextortion campaign that also included URLs linking to AZORult stealer that ultimately led to infection with GandCrab ransomware,” stated ProofPoint’s research.
Os documentos descarregados serão nomeados como Foto_Client89661_01.zip e o texto completo do e-mail de sextortion está abaixo:
Esta nova estratégia mostrou-se significativamente perigosa, e as vítimas ficam ainda mais aterrorizadas quando é afirmado que existe um vídeo. Eles acabam por descarregar o documento, se esforçam para abrir o arquivo compactado e, assim, tornam-se vítimas infetadas com dois tipos distintos de malware que cifra todo o disco do computador.
Recomenda-se que o utilizador não acredite em nada que receba por e-mail de um endereço estranho e faça algumas pesquisas na Internet como meio de verificar se outros utilizadores já passarem por atividades maliciosas desta naturez ou não.