Investigadores da Cisco Talos analisaram as duas campanhas, uma delas iniciada em 30 de agosto, a outra em 5 de outubro, e elas foram batizadas de ‘Aaron Smith’ sextortion scams.
Os invasores usam dados de várias violações de dados para realizar as campanhas fraudulentas. Em outubro, investigadores do Cybaze ZLab identificaram uma campanha fraudulenta que visava alguns dos seus clientes italianos – os criminosos usavam credenciais do Breach Compilation archive.
O criminosos, neste caso, exige o pagamento de uma certa quantia em criptomoedas para não partilhar o vídeo.
Os especialistas da Cisco Talos detalhacam que as campanhas de Aaron Smith chegaram a um total de 233.236 e-mails dos utilizadores.
“Talos extracted all messages from these two sextortion campaigns that were received by SpamCop from Aug. 30, 2018 through Oct. 26, 2018 — 58 days’ worth of spam.” reads the analysis published by Talos.
“Every message sent as a part of these two sextortion campaigns contains a From: header matching one of the following two regular expressions:
From =~ /Aaron\d{3}Smith@yahoo\.jp/
From =~ /Aaron@Smith\d{3}\.edu/ “In total, SpamCop received 233,236 sextortion emails related to these “Aaron Smith” sextortion campaigns. The messages were transmitted from 137,606 unique IP addresses. The vast majority of the sending IP addresses, 120,659 sender IPs (87.7 percent), sent two or fewer messages as a part of this campaign. “
Os principais países que receberam e-mails de sextortion incluem o Vietnã (15,9%), a Rússia (15,7%), a Índia (8,5%), a Indonésia (4,9%) e o Cazaquistão (4,7%).
De acordo com Talos, o número de endereços de e-mail distintos direcionados nas campanhas foi de 15.826, em média, cada utilizador recebeu cerca de 15 mensagens de sextortion. Em apenas um caso, um utilizador recebeu 354 mensagens.
Cada mensagem de spam inclui uma execução de pagamento que varia aleatoriamente de US $ 1.000 a US $ 7.000.
“These six different payment amounts appear with almost identical frequency across the entire set of emails, suggesting that there was no effort made on the part of the attackers to tailor their payment demands to individual victims.” continues Talos.
Para mais detalhes pode ser consultado o relatório da Cisco Talos aqui.