Geautomatiseerde sextortion-spyware maakt webcamfoto's van slachtoffers die porno kijken

Hacken op basis van sextortion, waarbij de webcam van een slachtoffer wordt gekaapt of gechanteerd met naaktfoto's die het slachtoffer onder druk zet om te delen, is al lange tijd een van de meest verontrustende vormen van cybercriminaliteit . Nu heeft een veelgebruikte spyware deze relatief handmatige vorm van criminaliteit omgezet in een geautomatiseerde functie. Deze detecteert wanneer de gebruiker op zijn pc naar porno kijkt, maakt er een screenshot van en maakt een ongedwongen foto van het slachtoffer via de webcam.

Onderzoekers van beveiligingsbedrijf Proofpoint publiceerden woensdag hun analyse van een open-sourcevariant van de "infostealer"-malware, bekend als Stealerium, die het bedrijf sinds mei van dit jaar in meerdere cybercriminele campagnes heeft zien gebruiken. De malware is, net als alle infostealers, ontworpen om de computer van een doelwit te infecteren en een hacker automatisch een breed scala aan gestolen gevoelige gegevens te sturen, waaronder bankgegevens, gebruikersnamen en wachtwoorden, en sleutels tot de cryptowallets van slachtoffers. Stealerium voegt echter een andere, meer vernederende vorm van spionage toe: het monitort ook de browser van het slachtoffer op webadressen die bepaalde NSFW-trefwoorden bevatten, maakt screenshots van browsertabbladen met die woorden, fotografeert het slachtoffer via de webcam terwijl het die pornopagina's bekijkt en stuurt alle afbeeldingen naar een hacker, die het slachtoffer vervolgens kan chanteren met de dreiging ze vrij te geven.

"Informatiedieven zijn doorgaans op zoek naar alles wat ze maar kunnen pakken", zegt Selena Larson, een van de Proofpoint-onderzoekers die aan de analyse van het bedrijf werkte. "Dit voegt een extra laag privacyschending toe en gevoelige informatie die je absoluut niet in handen van een hacker wilt hebben."

"Het is walgelijk", voegt Larson eraan toe. "Ik haat het."

Proofpoint verdiepte zich in de functies van Stealerium nadat het de malware had aangetroffen in tienduizenden e-mails van twee verschillende hackersgroepen die het volgt (beide relatief kleinschalige cybercriminele activiteiten), evenals in een aantal andere e-mailgebaseerde hackcampagnes. Stealerium wordt, vreemd genoeg, gedistribueerd als een gratis open-sourcetool die beschikbaar is op Github. De ontwikkelaar van de malware, die zichzelf witchfindertr noemt en zichzelf omschrijft als een "malware-analist" in Londen, merkt op de pagina op dat het programma "uitsluitend voor educatieve doeleinden" is.

"Hoe u dit programma gebruikt, is uw verantwoordelijkheid", staat er op de pagina. "Ik ben niet aansprakelijk voor illegale activiteiten. Het kan me ook geen reet schelen hoe u het gebruikt."

In de hackcampagnes die Proofpoint analyseerde, probeerden cybercriminelen gebruikers te misleiden tot het downloaden en installeren van Stealerium als bijlage of weblink. Ze lokten slachtoffers met typische lokkertjes zoals een valse betaling of factuur. De e-mails waren gericht op slachtoffers binnen bedrijven in de horeca, maar ook in het onderwijs en de financiële sector. Proofpoint merkt echter op dat gebruikers buiten de bedrijven waarschijnlijk ook werden aangevallen, maar niet door de monitoringtools zouden worden gezien.

Eenmaal geïnstalleerd, is Stealerium ontworpen om een ​​breed scala aan gegevens te stelen en deze naar de hacker te sturen via diensten zoals Telegram, Discord of het SMTP-protocol in sommige varianten van de spyware, wat allemaal relatief standaard is bij infostealers. De onderzoekers waren meer verrast door de geautomatiseerde sextortionfunctie, die browser-URL's controleert op een lijst met pornografische termen zoals "seks" en "porno". Deze kunnen door de hacker worden aangepast en activeren gelijktijdige beeldopnames van de webcam en browser van de gebruiker. Proofpoint merkt op dat het geen specifieke slachtoffers van die sextortionfunctie heeft geïdentificeerd, maar suggereert dat het bestaan ​​ervan betekent dat deze waarschijnlijk is gebruikt.

Meer hands-on sextortion-methoden zijn een veelvoorkomende chantagemethode onder cybercriminelen. Ook oplichtingscampagnes waarbij hackers beweren webcamfoto's te hebben verkregen van slachtoffers die naar porno kijken, hebben de afgelopen jaren inboxen geplaagd – waaronder sommige die zelfs proberen hun geloofwaardigheid te vergroten met foto's van het huis van het slachtoffer, geplukt van Google Maps. Maar daadwerkelijke, geautomatiseerde webcamfoto's van gebruikers die porno bekijken, zijn "vrijwel ongehoord", zegt Proofpoint-onderzoeker Kyle Cucci. Het enige vergelijkbare bekende voorbeeld, zegt hij, was een malwarecampagne die zich in 2019 richtte op Franstalige gebruikers en die werd ontdekt door het Slowaakse cybersecuritybedrijf ESET.

De overstap naar het targeten van individuele gebruikers met geautomatiseerde sextortion-functies is mogelijk onderdeel van een grotere trend waarbij sommige cybercriminelen, met name de lagere groepen, zich afkeren van zeer zichtbare, grootschalige ransomware-campagnes en botnets die vaak de aandacht trekken van wetshandhavingsinstanties, aldus Larson van Proofpoint.

"Voor een hacker is het niet alsof je een miljoenenbedrijf platlegt dat voor opschudding zorgt en veel gevolgen heeft", zegt Larson, die de sextortion-tactieken vergelijkt met ransomware-operaties die proberen om bedrijven voor een bedrag van zeven cijfers af te persen. "Ze proberen mensen één voor één geld afhandig te maken. En misschien mensen die zich schamen om zoiets te melden."