El fabricante de antivirus ESET ha descubierto una nueva variedad de malware de Windows que utiliza computadoras infectadas para enviar campañas de spam. Sin embargo, una de las características más singulares de este malware es una característica oculta que registra el escritorio de la víctima cuando el usuario visita un sitio web para adultos.
Con el nombre de Varenyky, el malware apareció en mayo de este año y solo estuvo activo en Francia, dijo ESET.
La característica principal es enviar spam.
El grupo detrás de Varenyky utiliza correos electrónicos no deseados que llevan facturas maliciosas para infectar a los usuarios. Una vez en un host, el objetivo principal del malware es enviar su propio spam.
El spam enviado está dirigido a usuarios franceses y solo a clientes de Orange SA, un ISP francés.
Durante la mayor parte de la vida útil del malware, el correo no deseado enviado generalmente eran correos electrónicos que promovían enlaces a promociones de teléfonos inteligentes sin resolver. Sin embargo, a fines de julio, el malware Varenyky también comenzó a enviar correos electrónicos de extorsión.
En estos correos electrónicos, los operadores de malware Varenyky afirmaron haber infectado las computadoras de los usuarios y las registraron mientras visitaban sitios para adultos. Esto es falso, en cierto modo.
Esto se debe a que el malware no registró los destinatarios de esos correos electrónicos aleatorios. Esto es cierto porque el malware registra a los usuarios que visitan sitios para adultos.
La función oculta registra a los usuarios en sitios para adultos.
Los investigadores de ESET dicen que el malware incluye código que rastrea los títulos de Windows para la palabra «sexo» y luego, usando la biblioteca FFmpeg, registra la pantalla del usuario. En teoría, esta función debería activarse cuando un usuario visita un sitio vinculado por sexo en su navegador.
Luego, el video grabado se envía al servidor de comando y control de malware, ubicado en la red Tor.
Se desconoce qué hace el malware con estos videos. ESET dice que Varenyky aún se está desarrollando porque se están agregando nuevas funciones y las antiguas se están eliminando a un ritmo muy rápido.
Debido a esta variación constante de funciones, no está claro qué quiere el grupo Varenyky de la recolección de estos videos.
Es posible que en algún momento en el futuro, los usuarios de Varenyky realmente intenten extorsionar a los usuarios utilizando registros en tiempo real de las víctimas que visitan sitios para adultos.
Además, el equipo de Varenyky ciertamente podrá vincular cada uno de los registros con las identidades reales de los usuarios. Esto se debe a que el malware Varenyky también incluye otra función oculta que extrae los nombres de usuario y las contraseñas del navegador y el cliente de correo electrónico de la víctima, que también envía a su servidor de control y comando basado en Tor. Si alguna vez tuviera que presionar a un usuario, sabría exactamente dónde enviar ese registro.
Esta es definitivamente una operación de malware que todos vigilarán.
Para obtener un desglose técnico de todas las desventajas del malware, consulte Informe ESET Varenyky.