Varenyky Spambot Trojaner-Virus in freier Wildbahn zur Ausführung von Spam-E-Mails verwendet

Französische Benutzer sind Ziel bösartiger Varenyky, die den Besuch von Websites für Erwachsene aufzeichnen

ESET-Forscher haben einen neuen Malware-Stamm namens -Varenyky beobachtet. Die Malware versendet verschiedene Spam-Mails im Zusammenhang mit der Werbung für beschädigte Smartphones und verteilt auch E-Mails mit Sextortion-Betrug. Laut den Experten werden die Funktionen der Malware ständig geändert und verbessert.

Das besagte Forscherteam hat festgestellt, dass der Virus die Bildschirme der Benutzer aufzeichnen kann, sobald sie eine pornografische Website aufrufen:

“Dieser Spambot ist interessant, weil er Passwörter stehlen, den Bildschirm seiner Opfer mit FFmpeg ausspionieren kann, wenn sie sich pornografische Inhalte online ansehen, und die Kommunikation mit dem C & C-Server über Tor erfolgt, während Spam als regulärer Internetverkehr gesendet wird.”

Die Betrugs-E-Mail-Kampagne

ESET ist sich nicht sicher, wie die Infektion ursprünglich verlaufen ist. Man geht davon aus, dass zu Beginn Phishing-E-Mails für die Verbreitung des Trojaner-Virus verwendet wurden und bald eine Probe von Spam-E-Mails gefunden wurde, die ursprünglich die Nutzlast enthielten. Die Nutzlast könnte in Französisch geschrieben sein und einen .doc-Anhang enthalten. Der Anhang scheint einen bestimmten Betrag von Euro zu haben. Die Opfer werden aufgefordert, es zu öffnen. Anschließend wird im Dokument bestätigt, dass Sie ein Mensch sind. In Wirklichkeit wurden die Benutzer aufgefordert, Befehle zu aktivieren, mit denen der Computer mit dem Trojaner Varenyky infiziert werden kann.

Malware zielt auf französische Benutzer ab

Das im vorigen Abschnitt erwähnte schädliche Dokument hat zwei Funktionen: Erstens soll es Nutzlast liefern und zweitens soll es prüfen, ob die Tastatur des Opfers auf die französische Sprache eingestellt ist. Um dies zu überprüfen, stützt sich der Spambot auf folgende Funktionen:

Application.LanguageSettings, LanguageID ()

Auf diese Weise kann die Malware andere französischsprachige Länder wie Kanada und Belgien ausschließen, um automatische Probenanalysatoren zu vermeiden und die Erkennung durch Malware-Analysten zu verhindern.

Bösartiger Varenyky!

Beim Betreten führt der Varenyky zahlreiche Änderungen am System durch, um Ausdauer zu gewinnen und Spam zu versenden. Es verbindet den Befehls- und Steuerungsserver, um Befehle von den Angreifern entgegenzunehmen. Sie werden von der Tor-Adresse ausgeführt, können den Befehl Powershell ausführen, um andere schädliche Malware herunterzuladen und zu installieren und die Nutzdaten zu deinstallieren. Später werden die Powershell-Befehle entfernt und die WebBrowserPassView- und Mail PassView-Tools von Norsoft werden verwendet, um E-Mails und Kennwörter zu stehlen und an die Angreifer zu senden. In der neuesten Version wird FFmpeg verwendet, das den Bildschirm aufzeichnet, sobald das Wort sexe im Titel des Browserfensters verwendet wird. Die Betrüger verwenden solche Details, um E-Mails vom Typ Sextortion zu entwerfen.