Automatisierte Sextortion-Spyware macht Webcam-Bilder von Opfern, die Pornos schauen

Sextortion-basiertes Hacking, bei dem die Webcam eines Opfers gekapert oder dieses mit Nacktfotos erpresst wird, die es durch Tricks oder Zwang zu teilen versucht, ist seit langem eine der verstörendsten Formen der Internetkriminalität . Nun hat eine weit verbreitete Spyware dieses relativ manuelle Verbrechen in eine automatisierte Funktion umgewandelt: Sie erkennt, wenn der Benutzer auf seinem PC pornografische Inhalte durchsucht, macht Screenshots davon und schießt über die Webcam ein spontanes Foto des Opfers.

Am Mittwoch veröffentlichten Forscher des Sicherheitsunternehmens Proofpoint ihre Analyse einer Open-Source-Variante der „Infostealer“-Malware Stealerium, die das Unternehmen seit Mai dieses Jahres in zahlreichen Cyberkriminellen-Kampagnen beobachtet hat. Wie alle Infostealer ist die Malware darauf ausgelegt, den Computer eines Opfers zu infizieren und einem Hacker automatisch eine Vielzahl gestohlener sensibler Daten zu senden, darunter Bankdaten, Benutzernamen und Passwörter sowie Schlüssel zu den Krypto-Wallets der Opfer. Stealerium bietet jedoch eine weitere, erniedrigendere Form der Spionage: Die Malware überwacht den Browser des Opfers auf Webadressen, die bestimmte nicht jugendfreie Schlüsselwörter enthalten, erstellt Screenshots von Browser-Tabs mit diesen Wörtern, fotografiert das Opfer beim Ansehen der Pornoseiten per Webcam und sendet alle Bilder an einen Hacker, der das Opfer dann mit der Drohung der Veröffentlichung erpressen kann.

„Infostealer suchen typischerweise nach allem, was sie erbeuten können“, sagt Selena Larson, eine der Proofpoint-Forscherinnen, die an der Analyse des Unternehmens mitgearbeitet hat. „Das fügt der Privatsphäre eine weitere Ebene hinzu und führt zu sensiblen Informationen, die man definitiv nicht in die Hände eines bestimmten Hackers legen möchte.“

„Es ist eklig“, fügt Larson hinzu. „Ich hasse es.“

Proofpoint untersuchte die Funktionen von Stealerium, nachdem die Malware in Zehntausenden von E-Mails zweier verschiedener Hackergruppen (beides relativ kleine Cyberkriminelle) sowie in einer Reihe weiterer E-Mail-basierter Hackerkampagnen gefunden wurde. Stealerium wird seltsamerweise als kostenloses Open-Source-Tool auf Github vertrieben. Der Entwickler der Malware, der sich unter dem Namen witchfindertr als „Malware-Analyst“ mit Sitz in London bezeichnet, weist auf der Webseite darauf hin, dass das Programm „ausschließlich zu Bildungszwecken“ diene.

„Wie Sie dieses Programm nutzen, liegt in Ihrer Verantwortung“, heißt es auf der Seite. „Ich werde nicht für illegale Aktivitäten zur Verantwortung gezogen. Und es ist mir auch scheißegal, wie Sie es nutzen.“

In den von Proofpoint analysierten Hackerangriffen versuchten Cyberkriminelle, Nutzer dazu zu bringen, Stealerium als Anhang oder Weblink herunterzuladen und zu installieren. Sie lockten die Opfer mit typischen Ködern wie gefälschten Zahlungen oder Rechnungen. Die E-Mails richteten sich an Opfer in Unternehmen der Hotellerie sowie im Bildungs- und Finanzwesen. Proofpoint weist jedoch darauf hin, dass wahrscheinlich auch Nutzer außerhalb der Unternehmen betroffen waren, diese jedoch von den Überwachungstools nicht erfasst wurden.

Nach der Installation ist Stealerium darauf ausgelegt, eine Vielzahl von Daten zu stehlen und sie über Dienste wie Telegram, Discord oder das SMTP-Protokoll (bei einigen Varianten der Spyware) an den Hacker zu senden – allesamt Standardfunktionen bei Infostealern. Überraschender waren die Forscher hingegen von der automatisierten Sextortion-Funktion. Diese überwacht Browser-URLs auf eine Liste pornografiebezogener Begriffe wie „Sex“ und „Porno“. Diese kann der Hacker anpassen und gleichzeitige Bildaufnahmen von der Webcam und dem Browser des Nutzers auslösen. Proofpoint weist darauf hin, dass es keine konkreten Opfer dieser Sextortion-Funktion identifiziert hat, vermutet aber, dass die Existenz der Funktion darauf schließen lässt, dass sie genutzt wurde.

Praktischere Methoden der Sextortion sind eine gängige Erpressungstaktik unter Cyberkriminellen. In den letzten Jahren häuften sich in den Posteingängen auch Betrugskampagnen an, bei denen Hacker behaupten, Webcam-Bilder von Opfern beim Anschauen von Pornografie erhalten zu haben – darunter einige, die ihre Glaubwürdigkeit sogar mit aus Google Maps extrahierten Bildern des Zuhauses der Opfer untermauern. Tatsächliche, automatisierte Webcam-Bilder von Nutzern beim Anschauen von Pornos sind jedoch „so gut wie unbekannt“, sagt Proofpoint-Forscher Kyle Cucci. Das einzige bekannte ähnliche Beispiel sei eine Malware-Kampagne gewesen, die 2019 auf französischsprachige Nutzer abzielte und von der slowakischen Cybersicherheitsfirma ESET entdeckt wurde.

Die Umstellung auf die gezielte Ansprache einzelner Benutzer mit automatisierten Sextortion-Funktionen könnte Teil eines größeren Trends sein, bei dem sich einige Cyberkriminelle – insbesondere Gruppen auf niedrigerer Ebene – von öffentlichkeitswirksamen, groß angelegten Ransomware-Kampagnen und Botnets abwenden, die tendenziell die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen, sagt Larson von Proofpoint.

„Für einen Hacker ist es nicht so, als würde er ein Multimillionen-Dollar-Unternehmen lahmlegen, das für Aufsehen sorgen und viele Folgewirkungen haben wird“, sagt Larson und vergleicht die Sextortion-Taktik mit Ransomware-Operationen, bei denen versucht wird, siebenstellige Summen von Unternehmen zu erpressen. „Sie versuchen, jeden einzelnen Menschen zu Geld zu machen. Und vielleicht auch Menschen, die sich schämen würden, so etwas zu melden.“