Xakep #305. Многошаговые SQL-инъекции
Эксперты ESET предупредили, что с мая 2019 года французских пользователей атакует Windows-малварь Varenyky, которая не только рассылает спам с зараженных машин, но и записывает все происходящее на компьютерах жертв, когда те посещают порносайты.
Varenyky распространяется по классической схеме — через вредоносные письма, которые якобы содержат некие важные инвойсы. На самом деле никаких счетов во вложениях, конечно, нет, и на машины пользователей таким способом проникает малварь. Основная цель Varenyky – рассылка спама, так же нацеленного на французских пользователей (в основном направленного на клиентов интернет-провайдера Orange SA).
Как правило, распространяемые малварью вредоносные письма содержат ссылки на подозрительные рекламные акции, якобы позволяющие выиграть дорогие смартфоны. Для участия в таком «розыгрыше» пользователю, конечно, нужно ввести множество личных данных, включая имя, адрес, город, адрес электронной почты, номер телефона и данные банковской карты.
Однако в конце июля Varenyky начал рассылать и другие послания, связанные с «сексуальным вымогательством». В английском языке для обозначения такой активности используют термин sextortion, образованный от слов sex («секс») и extortion («вымогательство»). В таких посланиях операторы Varenyky утверждают, что заразили компьютеры пользователей во время посещения сайтов для взрослых, записали все на видео и теперь требуют выкуп. Интересно, что эти заявления ложны только отчасти.
Дело в том, что Varenyky, конечно, не следит за случайными получателями спамерских писем, но действительно имеет скрытую функцию, которая просматривает заголовки окон и ищет слова, связанные с порнографией, например, французское «sexe». Затем, используя библиотеку FFmpeg, малварь записывает все происходящее на экране пользователя. То есть эта функция должна срабатывать, когда пользователь посещает сайты для взрослых. Записанное таким образом видео передается на управляющий сервер малвари, расположенный в сети Tor.
Что потом операторы вредоноса делают с полученными видео, неизвестно. Аналитики ESET отмечают, что Varenyky находится в стадии разработки, у малвари то и дело появляются новые функции, а старые удаляются. Из-за этого сложно понять, для чего именно операторы Varenyky собирают такие видео (не исключено, что вирусописатели делают это шутки ради или из простого любопытства).
Возможно, что в будущем злоумышленники планируют шантажировать жертв Varenyky записанными роликами, вымогая у потерпевших деньги. Дело в том, что операторы Varenyky легко могут связать сделанные записи с реальными личностями пользователей. Для этого малварь имеет еще одну скрытую функцию, которая извлекает имена пользователей и пароли из браузеров и почтовых клиентов. Все эти данные тоже передаются на управляющий сервер. И если разработчики Varenyky когда-нибудь решат вымогать у пользователей деньги, им будет точно известно, куда и кому отправить компрометирующую запись о посещении порносайта.