Tội phạm mạng đã vũ khí hóa một khả năng đáng lo ngại mới biến các vụ lừa đảo tống tiền tình dục truyền thống từ hoạt động thủ công thành các cuộc tấn công hoàn toàn tự động. Các nhà nghiên cứu bảo mật đã phát hiện phần mềm độc hại có thể phát hiện khi nạn nhân duyệt nội dung khiêu dâm và đồng thời chụp ảnh thỏa hiệp qua webcam của họ, tạo ra tài liệu tống tiền sẵn sàng mà không cần can thiệp của con người.
Tống tiền tình dục tự động trở thành hiện thực
Các nhà nghiên cứu của Proofpoint đã xác định một sự phát triển đáng lo ngại trong tội phạm mạng thông qua phân tích của họ về Stealerium, một phần mềm độc hại đánh cắp thông tin mã nguồn mở đã được triển khai tích cực từ tháng 5 năm 2024. Khác với các vụ lừa đảo tống tiền tình dục thông thường dựa vào việc đe dọa nạn nhân bằng những tuyên bố giả mạo về cảnh quay thỏa hiệp, Stealerium thực sự thu thập bằng chứng thật bằng cách giám sát hoạt động trình duyệt để tìm từ khóa liên quan đến khiêu dâm và kích hoạt chụp ảnh webcam đồng thời khi phát hiện nội dung như vậy.
Phần mềm độc hại này đại diện cho một sự leo thang đáng kể trong chiến thuật xâm phạm quyền riêng tư. Trong khi các infostealer truyền thống tập trung vào thu thập dữ liệu tài chính, mật khẩu và thông tin ví tiền điện tử, Stealerium bổ sung một chiều hướng cực kỳ cá nhân vào tội phạm mạng bằng cách tạo ra tài liệu tống tiền thực sự mà nạn nhân sẽ tuyệt vọng muốn giữ bí mật.
Khả năng của Malware Stealerium
- Giám sát các URL trình duyệt để tìm kiếm các từ khóa liên quan đến nội dung khiêu dâm có thể tùy chỉnh ("sex", "porn", v.v.)
- Đồng thời chụp ảnh màn hình và chụp ảnh webcam khi phát hiện từ khóa
- Đánh cắp dữ liệu infostealer truyền thống: thông tin đăng nhập trình duyệt, thẻ thanh toán, ví tiền điện tử
- Truyền tải dữ liệu qua các giao thức Telegram, Discord, hoặc SMTP
- Được phân phối như một công cụ miễn phí, mã nguồn mở trên GitHub từ năm 2022
Triển khai kỹ thuật và phân phối
Stealerium hoạt động thông qua một hệ thống giám sát tinh vi theo dõi các từ khóa có thể tùy chỉnh bao gồm sex và porn trong URL trình duyệt. Khi những thuật ngữ này được phát hiện, phần mềm độc hại đồng thời chụp ảnh màn hình nội dung trình duyệt và chụp ảnh nạn nhân qua webcam của họ. Phương pháp chụp kép này cung cấp cho tội phạm mạng cả bằng chứng về những gì nạn nhân đang xem và bằng chứng hình ảnh về sự hiện diện của họ trong hoạt động đó.
Phần mềm độc hại lan truyền thông qua các chiến dịch lừa đảo thông thường được ngụy trang thành thông tin liên lạc kinh doanh hợp pháp. Tội phạm mạng nhắm mục tiêu nạn nhân trong các lĩnh vực khách sạn, giáo dục và tài chính với hóa đơn giả, yêu cầu thanh toán và yêu cầu đặt phòng chứa tệp đính kèm độc hại ở định dạng ZIP, IMG, ISO, VBScript, JavaScript hoặc ACE. Sau khi được cài đặt, Stealerium trích xuất dữ liệu bị đánh cắp thông qua các nền tảng giao tiếp phổ biến như Telegram và Discord.
Phương thức phân phối và mục tiêu
- Lây lan thông qua email lừa đảo với hóa đơn giả mạo, yêu cầu thanh toán, yêu cầu đặt phòng
- Định dạng tệp: ZIP, IMG, ISO, VBScript, JavaScript, tệp đính kèm ACE
- Mục tiêu chính: Các lĩnh vực khách sạn, giáo dục và tài chính
- Được triển khai bởi nhiều nhóm tội phạm mạng quy mô nhỏ từ tháng 5 năm 2024
- Được tìm thấy trong hàng chục nghìn email độc hại được phân tích bởi Proofpoint
Tính khả dụng mã nguồn mở gây lo ngại
Có lẽ điều đáng lo ngại nhất là tính khả dụng của Stealerium như một công cụ miễn phí, mã nguồn mở trên GitHub từ năm 2022. Nhà phát triển, hoạt động dưới tên người dùng witchfindertr và tự nhận là nhà phân tích phần mềm độc hại có trụ sở tại London, phân phối phần mềm với tuyên bố từ chối trách nhiệm nói rằng nó chỉ dành cho mục đích giáo dục. Tuy nhiên, thái độ coi thường của nhà phát triển rõ ràng trong tuyên bố của họ: Cách bạn sử dụng chương trình này là trách nhiệm của bạn. Tôi sẽ không chịu trách nhiệm cho bất kỳ hoạt động bất hợp pháp nào. Tôi cũng không quan tâm bạn sử dụng nó như thế nào.
Mô hình phân phối mã nguồn mở này làm giảm đáng kể rào cản gia nhập cho tội phạm mạng, cho phép ngay cả những kẻ không tinh thông về kỹ thuật cũng có thể triển khai khả năng tống tiền tình dục tiên tiến. Khả năng tiếp cận của những công cụ như vậy đại diện cho sự dân chủ hóa tội phạm mạng mà các chuyên gia bảo mật thấy cực kỳ lo ngại.
Sự thay đổi trong chiến lược tội phạm mạng
Các nhà nghiên cứu bảo mật cho rằng xu hướng tống tiền tình dục tự động này phản ánh sự thay đổi chiến lược rộng lớn hơn trong các nhóm tội phạm mạng cấp thấp. Thay vì theo đuổi các cuộc tấn công ransomware có tính hiển thị cao chống lại các tập đoàn lớn thu hút sự chú ý của cơ quan thực thi pháp luật, những nhóm này đang tập trung vào các nạn nhân cá nhân có thể quá xấu hổ để báo cáo những tội phạm như vậy.
Phương pháp này mang lại nhiều lợi thế cho tội phạm mạng: các nạn nhân cá nhân ít có khả năng có các biện pháp bảo mật mạnh mẽ, bản chất cá nhân của tài liệu tống tiền tăng khả năng thanh toán, và tính chất phân tán của các cuộc tấn công khiến việc phát hiện và truy tố trở nên khó khăn hơn. Chiến lược này đại diện cho một động thái tính toán hướng tới các hoạt động tội phạm bền vững, ít nổi bật có thể hoạt động dưới radar của các sáng kiến an ninh mạng lớn.
Bối cảnh lịch sử và ý nghĩa tương lai
Trong khi tống tiền webcam tự động đại diện cho một biên giới mới trong tội phạm mạng, tống tiền tình dục thủ công đã gây khó khăn cho người dùng internet trong nhiều năm. Các chiến dịch trước đây dựa vào kỹ thuật xã hội, sử dụng thông tin có sẵn công khai từ Google Maps và mạng xã hội để thuyết phục nạn nhân rằng hacker có cảnh quay thỏa hiệp. Tuy nhiên, nhà nghiên cứu Kyle Cucci của Proofpoint lưu ý rằng việc chụp ảnh webcam tự động thực tế được kích hoạt bởi phát hiện khiêu dâm hầu như chưa từng nghe thấy, chỉ có một chiến dịch tương tự nhắm mục tiêu người dùng nói tiếng Pháp được xác định vào năm 2019.
Sự xuất hiện của Stealerium cho thấy rằng tội phạm mạng đang ngày càng tinh vi trong cách tiếp cận khai thác dữ liệu cá nhân. Khi quyền riêng tư trở thành một hàng hóa ngày càng có giá trị trong thời đại kỹ thuật số, phần mềm độc hại có thể tự động tạo ra tài liệu tống tiền nhạy cảm nhất có thể đại diện cho một sự leo thang đáng kể trong bối cảnh mối đe dọa mạng.