Sextortion âm mưu sử dụng dữ liệu vi phạm công cộng để lừa nạn nhân

Các nhà nghiên cứu đã xác định ít nhất hai chiến dịch riêng biệt liên quan đến các email lừa đảo này, tất cả đều bao gồm tiêu đề “From:” với biến thể với cái tên Aaron Smith. Nói chung, theo Nhóm nghiên cứu Security Intelligence & Research Group của Cisco System và người đứng đầu kỹ thuật - Jaeson Schultz đã viết trên một trong hai bài báo trên blog, hoạt động này đã tống tiền được ít nhất là 23.3653711 bitcoin. Sử dụng tỷ lệ chuyển đổi vào ngày 31 tháng 10, thì tổng số bitcoin trị giá khoảng 147.000 đô la.

Barracuda Networks, công ty đứng sau báo cáo thứ hai, cảnh báo rằng các chiến dịch đã ghi nhận một số thành công vì các email đe dọa tham chiếu mật khẩu của nạn nhân, điều này khiến người dùng nghĩ rằng máy tính của họ bị tấn công. Barracuda giải thích trong một bài đăng trên blog được viết bởi nhà nghiên cứu bảo mật cao cấp Jonathan Tanner: sự thật thì, các mật khẩu này có khả năng được lấy từ các tài nguyên công cộng như Danh sách kết hợp AntiPublic, chứa hàng trăm triệu mật khẩu bị rò rỉ bị đánh cắp trong nhiều vi phạm khác nhau.

Trích dẫn từ một phiên bản của thông điệp đe dọa gửi đến người dùng: “Tôi đã đặt một phần mềm trên trang web chứa video clip người lớn (khiêu dâm) và bạn đã truy cập trang web này…Trong khi bạn đang xem video, trình duyệt của bạn đã bắt đầu hoạt động như một Máy tính Từ xa với trình ghi nhật ký chính giúp tôi có khả năng truy cập vào màn hình hiển thị của bạn và cả web cam. Ngay sau đó, phần mềm của tôi đã thu thập các liên hệ hoàn chỉnh của bạn từ Messenger, Facebook, cũng như email của bạn”.

Không có điều nào là đúng sự thật. Tuy nhiên, những kẻ tấn công đe dọa sẽ chia sẻ một video đáng xấu hổ của cả nạn nhân với bất cứ nội dung khiêu dâm nào mà người đó được cho là đang xem vào thời điểm đó với một vài người trong danh bạ của anh ta. Sau đó, email yêu cầu một khoản thanh toán kết thúc bằng ba số không, từ 1.000 đô la đến 7.000 đô la - số tiền chính xác được gây dựng trên cơ sở ngẫu nhiên.

Trong báo cáo của mình, Cisco Talos đề cập đến hai chiến dịch sextortion được liên kết là hoạt động "Aaron Smith", bởi vì tất cả email của họ đều bao gồm các tiêu đề có một biến thể về tên cụ thể đó. Mối đe dọa bắt đầu từ tháng Bảy, với hoạt động chính cuối cùng vào ngày 9 tháng 10, khi các thủ phạm thêm vào danh sách các mục tiêu của họ và đăng ký địa chỉ ví bitcoin bổ sung để nhận thanh toán.

Các nhà nghiên cứu của Cisco đã quyết định xem xét một khoảng thời gian hai tháng từ 30/8 đến 26/10. Xem xét tất cả hoạt động Aaron Smith được ghi lại bởi dịch vụ báo cáo spam - SpamCop trong khoảng thời gian đó, các nhà nghiên cứu đã tìm thấy 233.236 email được báo cáo, được gửi từ 137.606 địa chỉ IP khác nhau.

Khoảng 50% các mối đe dọa có nguồn gốc từ: Việt Nam (15,9%), Nga (15,7%), Ấn Độ (8,5%), Indonesia (4,9%) và Kazakhstan (4,7%). Talos đưa ra giả thuyết rằng botnet của Necurs có thể tham gia vào việc phân phối email của sextorition, cho rằng Ấn Độ và Việt Nam được biết là có nhiều máy tính bị nhiễm phần mềm độc hại của Necurs.

Một cách riêng biệt, Barracuda báo cáo quan sát khoảng 24.000 email Aaron Smith kể từ tháng 9 vừa qua.

Tuy nhiên, theo Talos, chiến lược phân phối có một chút nghi ngờ, chỉ có 15.826 địa chỉ email nạn nhân thực sự bị ảnh hưởng. Talos cũng phát hiện ra rằng những kẻ tấn công đã tạo ra ít nhất 58.611 địa chỉ ví bitcoin duy nhất để chấp nhận thanh toán tống tiền, mặc dù vậy chỉ có 83 địa chỉ có số dư lớn hơn 0.

Việc điều tra thêm bởi Talos có thể liên kết một số địa chỉ ví bitcoin của kẻ tấn công, cơ sở hạ tầng IP của Necurs gửi và đe dọa nội dung tới các chiến dịch spam bổ sung, cho thấy một hoạt động tội phạm lớn hơn có thể đang diễn ra. Một chiến dịch như vậy đã tham chiếu đến số điện thoại của người nhận thay vì mật khẩu, một số khác được thiết kế giống như một vé hỗ trợ kỹ thuật. Một chiến dịch khác có thể có liên quan có cách tiếp cận hoàn toàn khác, giả vờ là một thông điệp từ một người đàn ông được thuê để giết người nhận, nhưng sẵn sàng từ bỏ nhiệm vụ để đổi lấy một khoản thanh toán.