Des abonnés Orange victimes d’un étrange malware et d’une campagne de sextorsion

Des abonnés Orange victimes d’un étrange malware et d’une campagne de sextorsion

Varenkyky, un malware détecté en mai dernier visant les abonnés d’Orange, se propage par mail et serait en plein développement.

En mai 2019, les chercheurs d’ESET ont observé un pic dans leurs données télémétriques au sujet de logiciels malveillants ciblant la France. "Après une analyse plus poussée, nous avons identifié un logiciel malveillant distribuant différents types de courrier indésirable. L’un d’entre eux mène à un sondage qui redirige les victimes potentielles vers une fausse offre promotionnelle pour une smartphone (ou téléphone intelligent), tandis qu’une autre constitue une campagne de sextorsion. Les spammeurs ciblent les utilisateurs du fournisseur d’accès Internet français Orange. Nous avons avisé l’entreprise avant de mettre cette publication en ligne", alerte dans une note l’entreprise de sécurité informatique ESET.

Baptisé Varenkyky, ce malware serait en plein développement. Ce spambot peut voler des mots de passe, utiliser le logiciel libre FFmpeg pour espionner l’écran de ses victimes lorsqu’elles regardent du contenu pornographique en ligne ou tapent des mots clef comme "Hitler" ou "Bitcoin". En juin dernier, ESET a détecté un premier document malveillant joint à un message électronique lequel déclenche l’infection de l’ordinateur de la victime.

Plus précisément, le dit e-mail indique qu’une facture de 491,27 € est disponible en pièce jointe. Le nom du fichier Microsoft Word comprend le mot « facture » de quoi inciter la proie à ouvrir le fichier pour vérifier. De plus ce fichier est protégé et nécessite une vérification humaine laissant entendre aux destinataires qu’il s’agit d’une facture réelle. "La qualité du français est très bonne ; dans l’ensemble, le document est convaincant", précise l’entreprise de sécurité.

Bien que Varenyky ait la capacité d’enregistrer une vidéo de l’écran alors que l’utilisateur regarde probablement de la pornographie sur son ordinateur, ESET note pour le moment "aucune évidence indiquant que les opérateurs de ce logiciel malveillant exploite ce type de vidéos. À l’inverse, incidemment, nous avons vu au 22 juillet dernier Varenyky amorcer une campagne d’arnaque à la sextorsion". Celle-ci est similaire à d’autres pullulant actuellement et donc assez courante, mais "elle ne semble pas reliée à la capacité partielle de Varenyky d’exécuter les fonctions des logiciels malveillants fictifs décrits dans ces messages frauduleux".

Le message de cette campagne de sextorsion fait croire à la victime que son ordinateur a été piraté, et qu’une vidéo a été réalisée d’elle avec à l’écran, d’un côté la navigation sur un site pornographique et de l’autre un enregistrement de sa webcam à ce moment là. Est demandé en suite à l’utilisateur visé de verser 750 euros en bitcoins. La dite adresse utilisée aurait déjà reçu 4 versements. Varenkyky a pour cible les adresses Orange et Wanadoo. Quant aux auteurs de malware, ESET a peu d’indices et ne se risque à aucune hypothèse. La qualité du français utilisé dans l’e-mail contenant le malware, laissent entendre qu’il parlent couramment français selon ESET.

 

La campagne de sextorsion en question

 

Source : Le Monde