Отчет раскрывает: открытое ПО-вредоносное ПО фиксирует изображения жертв, смотрящих порно

Недавний отчет, опубликованный исследователями из Proofpoint, показал, что злоумышленники используют открытое ПО с меткой «для образовательных целей» на различных платформах для проведения кибератак. Эксперты обнаружили, что в этом году атакующие использовали автоматизированные вредоносные программы для кражи информации в различных кампаниях, включая съемку фотографий, когда пользователи просматривают порнографию с целью сексторшинга.

Согласно отчету, опубликованному Proofpoint в среду, изучаемое открытое ПО-вредоносное программное обеспечение — Stealerium и подобные варианты — уже долгое время доступны публично на платформах вроде GitHub «только в образовательных целях». Однако исследователи заметили недавнюю злонамеренную активность, связанную с инфо-вором.

«Хотя открытое ПО вредоносного кода может быть полезным для инженеров-детективов и охотников за угрозами для понимания образцов поведения, на основе которых они могут разрабатывать подписи для обнаружения угроз, оно также предоставляет совершенно иной вид образования злоумышленникам,» — объяснили исследователи в анализе. «Эти актеры могут воспринять, изменить и, возможно, улучшить открытый код, что приводит к распространению вариантов вредоносного ПО, которые не так просто обнаружить или защититься от них.»

Исследователи обнаружили несколько атак, нацеленных на сотни организаций по всему миру, которые связывают с актерами угроз TA2715 и TA2536 и связаны со Stealerium. В ходе кампаний использовались фишинговые письма с вредоносными вложениями, имитация организаций из различных секторов, требование платежей и применение тактики социальной инженерии, направленной на создание страха и срочности.

В одном случае вредоносное ПО, установленное на устройстве жертвы, украло большой объем данных и включало функцию обнаружения порнографического содержимого. Когда браузер обнаруживал в URL взрослый контент, это запускало создание скриншотов и захват изображения с веб-камеры.

«Оно способно обнаруживать открытые вкладки браузера, связанные с взрослым контентом, и делает скриншот рабочего стола, а также захватывает изображение с веб-камеры», — написали исследователи. «Вероятно, это впоследствии используется для «сексторции». Хотя эта функция не является новинкой среди вредоносного ПО, используемого в киберпреступности, она нечасто встречается».

Proofpoint предупреждает о рисках, связанных с открытым исходным кодом вредоносного ПО, и вероятности новой волны кибератак, призывая организации усилить свои защитные меры.

В последние недели было зарегистрировано несколько кампаний сексторшинга. В мае многие источники сообщали о том, что кампания «Hello Pervert» нацелилась на многих пользователей электронной почты, и эксперты также выразили опасения по поводу использования AI для схем сексторшинга на приложениях знакомств.