En los últimos días hemos recibidos decenas de reportes de usuarios que dicen estar recibiendo correos extorsivos (sextorsion) sobre el supuesto “pirateo” de su computadora y la consecuente exposición de archivos privados sensibles, como fotos y videos. Los usuarios pueden denunciar estos correos a phishing@antiphishing.com.ar.
El correo habla de la instalación de un RAT (Remoto Access Trojan) que permitiría al delincuente espiar las acciones y archivos del usuario afectado. Por supuesto todo es mentira pero, como se verá, los usuarios pueden dudar de la veracidad del correo e incluso llegar a pagar.
Hasta al momento hemos registrado 3 correos con textos similares a este:
Este es el contenido de uno de los correos extorsivos (errores incluidos):
Hola, querido usuario de gmail.com.
Hemos instalado un software RAT en su dispositivo.
En este momento su cuenta de correo electrónico está hackeada (ver en , ahora tengo acceso a tus cuentas).
He descargado toda la información confidencial de su sistema y obtuve más evidencia.
El momento más interesante que he descubierto son los registros de videos de tu masturbación.Publiqué mi virus en un sitio pornográfico y luego lo instalé en su sistema operativo.
Cuando hizo clic en el botón Reproducir en video porno, en ese momento mi troyano se descargó en su dispositivo.
Después de la instalación, la cámara frontal toma videos cada vez que te masturbas, además, el software se sincroniza con el video que elijas.Por el momento, el software ha recopilado toda su información de contacto de redes sociales y direcciones de correo electrónico.
Si necesita borrar todos sus datos recopilados, envíeme $150 en BTC (moneda cifrada).
Esta es mi billetera de Bitcoin: 1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA
Tienes 48 horas después de leer esta carta.Después de su transacción, borraré todos sus datos.
De lo contrario, enviaré videos con tus trastada a todos tus colegas y amigos.¡Y de ahora en adelante ten más cuidado!
Por favor visite solo sitios seguros!
¡Adiós!
Estos correos son similares a los propagados hace un par de meses con mensajes “sextorsivos” que amenazaban con difundir la contraseña del usuario. Al igual que en aquella oportunidad, los correos son genéricos, enviados de forma aleatoria a millones de usuarios y con el claro objetivo de asustar a la persona que lo reciba.
Bajo ninguna circunstancia se debe responder y mucho menos pagar.
Al momento de recibir el primer reporte, el pasado 21 de septiembre a las 10hs, ya habían pagado 11 personas un total de 0,25 btc (U$S1.600 al precio actual). Y, al momento de escribir el presente, 48hs después, la cantidad de usuarios que han pagado al delincuente se ha duplicado (con un total de 0,46 btc = U$S 3.000).
Cuando se analiza los montos de las transferencias, se puede determinar que algunos usuarios han transferido 150 pesos argentinos (aprox. 0,0007 btc) y otros han transferidos 150 dólares norteamericanos (aprox. 0,033 btc), ya que en el correo no queda aclarado.
A modo de ejemplo, y simplemente para analizar las ganancias de los delincuentes, se hizo un análisis de las billeteras de Bitcoin mencionadas en los distintos correos recibidos:
- 1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA ha recaudado 0,46btc en 22 transacciones
- 1LK8rRhBTekN3Uxh8ib83FfmvMsX6EQnqL, ha recaudado 0,55btc a través de 24 pagos.
- 115i2xierq98FX3iWmj7yXog4bwQx3ACVg ha recaudado 0,17btc en 9 transacciones.
Como sea, el delincuente ha ganado aproximadamente U$S 3.000 U$S 7.000 simplemente haciendo creer a los usuarios que ha invadido su privacidad y que tiene algo para revelar. ¿Será por aquel dicho que dice que todos tenemos algo que esconder y de avergonzarnos?
Bloqueo de los correos
Realizar el bloqueo de esta campaña es difícil ya que los correos provienen desde “direcciones aleatorias”. Los delincuentes utilizan servidores de servicios SMTP vulnerados y mediante la técnica de email spoofing hacen creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y por lo tanto el engaño es más creíble.
Actualización 25/09: las cuentas han sido vaciadas y los bitcoin han sido movidos a dos cuentas recaudadoras que hasta el momento acumulan 5,33 btc y 6,29 btc respectivamente (U$S 73.000).
Cristian de la Redacción de Segu-Info