Varenyky spambot Trojan virus na natureza usado para executar e-mails de spam

Usuários franceses são alvo de Varenyky malicioso que registra visitar sites adultos

Os pesquisadores da ESET observaram uma nova variedade de malware chamada Varenyky. O malware envia vários spams relacionados à promoção de smartphones corruptos e também distribui emails de golpe de sextortion. De acordo com os especialistas, os recursos do malware estão sendo constantemente alterados e melhorados.

A equipe de pesquisadores disse que uma coisa muito interessante sobre o vírus é que ele pode gravar as telas dos usuários assim que eles entram em um site pornográfico:

“Esse spambot é interessante porque pode roubar senhas, espionar a tela de suas vítimas usando o FFmpeg quando eles assistem conteúdo pornográfico online, e a comunicação com o servidor C & C é feita através do Tor, enquanto o spam é enviado como tráfego regular na internet.”

A campanha de email fraudulento

A ESET não tem certeza sobre como a infecção ocorreu inicialmente. A expectativa é que os e-mails financeiros de phishing foram usados ​​para a distribuição do vírus Trojan no início e logo encontraram uma amostra de e-mail de spam que transportava a carga inicialmente. A carga poderia ser escrita em francês e incluir um anexo .doc. O anexo parece ter uma certa quantia de euros. As vítimas são encorajadas a abri-lo. Uma vez feito, o documento afirma que você é humano. Na realidade, pediu aos usuários que ativassem comandos que, conseqüentemente, permitissem infectar a máquina com o vírus Varenyky Trojan.

O malware atinge usuários franceses

O documento malicioso, mencionado na seção anterior, tem duas funções: Primeiramente, é entregar a carga útil e outra é verificar se o teclado da vítima está configurado para o idioma francês. Para verificar isso, o Spambot depende das seguintes funções:

Application.LanguageSettings, LanguageID ()

Isso permite que o malware exclua outros países de língua francesa como o Canadá e a Bélgica, a fim de evitar analisadores automáticos de amostras e evitar a detecção de analistas de malware.

Varenyky Malicioso!

Ao entrar, o Varenyky realiza inúmeras alterações no sistema para ganhar persistência e começar a enviar spam. Ele conecta o servidor de comando e controle para receber comandos dos invasores. Eles executam a partir do endereço Tor, podem executar o comando powershell para baixar e instalar outros malwares maliciosos e desinstalar a carga útil. Mais tarde, os comandos do PowerShell são removidos e as ferramentas WebBrowserPassView e Mail PassView da Norsoft são empregadas para roubar e-mails e senhas e enviá-los para os invasores. A versão mais recente está usando o FFmpeg que grava a tela assim que a palavra sexe é usada no título na janela do navegador. Os golpistas usam esses detalhes para criar e-mails do tipo sextortion.