A pirataria baseada em sextorsão, que sequestra a webcam de uma vítima ou a chantageia com nudes que elas são enganadas ou coagidas a compartilhar, há muito representa uma das formas mais perturbadoras de cibercrime. Agora, uma variante amplamente disponível de spyware transformou esse crime relativamente manual em um recurso automatizado, detectando quando o usuário está navegando em pornografia em seu PC, capturando screenshots e tirando uma foto do usuário pela webcam.
Na quarta-feira, pesquisadores da empresa de segurança Proofpoint publicaram sua análise de uma variante de malware de “infostealer” de código aberto conhecida como Stealerium, que a empresa viu ser usada em várias campanhas de cibercriminosos desde maio deste ano. O malware, como todos os infostealers, é projetado para infectar o computador de um alvo e enviar automaticamente a um hacker uma ampla variedade de dados sensíveis roubados, incluindo informações bancárias, nomes de usuários e senhas, e chaves das carteiras de criptomoedas das vítimas. No entanto, o Stealerium adiciona outra forma de espionagem mais humilhante: também monitora o navegador da vítima em busca de endereços da web que incluem certas palavras-chave NSFW, captura screenshots das abas do navegador que incluem essas palavras, fotografa a vítima através de sua webcam enquanto assiste a essas páginas pornográficas e envia todas as imagens para um hacker — que pode então chantagear a vítima com a ameaça de liberá-las.
“Quando se trata de infostealers, eles normalmente estão procurando qualquer coisa que possam pegar”, diz Selena Larson, uma das pesquisadoras da Proofpoint que trabalhou na análise da empresa. “Isso adiciona outra camada de invasão de privacidade e informações sensíveis que você definitivamente não gostaria que estivesse nas mãos de um hacker específico.”
“É nojento”, acrescenta Larson. “Eu odeio isso.”
A Proofpoint investigou os recursos do Stealerium após encontrar o malware em dezenas de milhares de e-mails enviados por dois grupos de hackers diferentes que rastreia (ambas operações de cibercrime de escala relativamente pequena), assim como uma série de outras campanhas de hacking baseadas em e-mail. Estranhamente, o Stealerium é distribuído como uma ferramenta gratuita de código aberto disponível no Github. O desenvolvedor do malware, que se apresenta como witchfindertr e se descreve como um “analista de malware” baseado em Londres, observa na página que o programa é para “fins educacionais apenas.”
“Como você usa este programa é sua responsabilidade”, lê-se a página. “Eu não serei responsabilizado por quaisquer atividades ilegais. Nem me importa como você o utiliza.”
Nas campanhas de hacking analisadas pela Proofpoint, os cibercriminosos tentaram enganar os usuários para baixar e instalar o Stealerium como um anexo ou um link da web, atraindo as vítimas com iscas típicas, como um pagamento ou fatura falsa. Os e-mails visaram vítimas dentro de empresas da indústria de hospitalidade, bem como na educação e finanças, embora a Proofpoint observe que usuários fora das empresas também foram provavelmente alvos, mas não seriam vistos por suas ferramentas de monitoramento.
Uma vez instalado, o Stealerium é projetado para roubar uma ampla variedade de dados e enviá-los ao hacker através de serviços como Telegram, Discord ou o protocolo SMTP em algumas variantes do spyware, tudo isso é relativamente padrão em infostealers. Os pesquisadores ficaram mais surpresos ao ver o recurso automatizado de sextorsão, que monitora URLs do navegador em uma lista de termos relacionados à pornografia, como “sexo” e “pornô,” que podem ser personalizados pelo hacker e acionar capturas de imagens simultâneas da webcam e do navegador do usuário. A Proofpoint observa que não identificou vítimas específicas dessa função de sextorsão, mas a existência do recurso sugere que provavelmente foi usado.
Táticas de sextorsão mais manuais são uma tática de chantagem comum entre cibercriminosos, e campanhas de golpes nas quais hackers alegam ter obtido fotos de webcam de vítimas assistindo pornografia também têm atormentado as caixas de entrada nos últimos anos — incluindo algumas que até tentam reforçar sua credibilidade com fotos da casa da vítima retiradas do Google Maps. Mas fotos reais e automatizadas de usuários navegando em pornografia são “praticamente desconhecidas”, diz o pesquisador da Proofpoint Kyle Cucci. O único exemplo semelhante, ele diz, foi uma campanha de malware que visou usuários de língua francesa em 2019, descoberta pela empresa de cibersegurança eslovaca ESET.
A mudança para o direcionamento de usuários individuais com recursos automatizados de sextorsão pode ser parte de uma tendência maior de alguns cibercriminosos — particularmente grupos de nível inferior — se afastando de campanhas de ransomware de grande visibilidade e botnets que tendem a atrair a atenção das autoridades, diz Larson, da Proofpoint.
“Para um hacker, não é como se você estivesse derrubando uma empresa de milhões de dólares que vai causar ondas e ter muitos impactos subsequentes”, diz Larson, contrastando as táticas de sextorsão com operações de ransomware que tentam extorquir somas de sete dígitos de empresas. “Eles estão tentando monetizar pessoas uma a uma. E talvez pessoas que possam estar envergonhadas de relatar algo como isso.”