TOOLinux

Le journal du Libre

Des courriels de sextorsion ont peut-être été envoyés à votre nom

jeudi 17 octobre 2019

Des mots de passe dérobés sont utilisés de concert avec des adresses de courriel pour intimider des destinataires innocents. Vous êtes peut-être l’un de ces anonymes qui servent de vecteur de menaces. Explications.

Les chercheurs de Check Point signalent que le tristement célèbre botnet a été "réactivé et propage de nouveau des campagnes très actives."

Ainsi, des utilisateurs envoient à leur insu des courriels de “sextorsion” à 27 millions d’autres personnes, selon le dernier rapport de l’éditeur Check Point. Ils lèvent le voile sur un botnet qui se sert d’utilisateurs lambda pour envoyer à leur insu 30.000 courriels de type sextorsion par heure.

Qu’entendre par sextorsion ?

Une “sextorsion” désigne le fait pour quelqu’un de recevoir un courrier exigeant le paiement d’un chantage, en le menaçant de révéler des contenus sexuels généralement collectés par le biais de sa propre webcam.

Un projet de recherche ayant duré cinq mois a permis aux chercheurs de Check Point de démasquer un très important maliciel “normal” qui utilise les victimes qu’il a infectées afin d’envoyer, à leur insu, des courriels de sextorsion à un grand nombre de personnes, de manière automatisée. La vitesse et le volume de courriels ainsi générés sont tout simplement stupéfiants.

Phorpiex : explications

Le maliciel incriminé porte le nom de Phorpiex. Actif depuis environ une dizaine d’années, ilinfecte plus de 450.000 hôtes - et ce nombre connaît une progression rapide. Par le passé, Phorpiex générait des revenus essentiellement en distribuant plusieurs autres familles de maliciels et utilisait ses hôtes pour procéder à du minage de crypto-monnaies.

Récemment toutefois, on constate que Phorpiex a ajouté une nouvelle forme de création de revenus à son attirail, à savoir un bot à pourriels qui est utilisé pour déployer les campagnes de sextorsion les plus étendues que nous ayons jamais rencontrées.

Comment ça marche ?

Le bot à pourriels télécharge une base de données d’adresses courriel à partir d’un serveur C&C. Une adresse de courriel est ensuite sélectionnée de manière aléatoire à partir de la base de données téléchargée et un message est composé au départ de plusieurs chaînes de caractères codées en dur.

Le bot à pourriels peut produire un nombre astronomique de courriels de sextorsion : le bot à pourriels génère un total de 15.000 fils destinés à envoyer des messages pourriels à partir d’une base de données.

Chaque fil choisit au hasard une ligne dans le fichier téléchargé. Le fichier suivant est téléchargé lorsque tous les fils de pourriels ont été épuisés. Si l’on tient compte du temps nécessaire à l’opération, on peut estimer que le bot est capable d’envoyer environ 30.000 courriels par heure. Chacune des campagnes de sextorsions peut toucher jusqu’à 27 millions de victimes potentielles.

Des mots de passe dérobés en fuite

Phorpiex utilise des bases de données contenant des mots de passe dérobés et les combine avec des adresses de courriel. Le mot de passe d’une victime figure généralement dans le courriel afin de lui donner davantage de pouvoir de persuasion en indiquant à la victime que son mot de passe est connu du pirate.

Les courriels utilisés dans le cadre de cette attaque commencent par le mot de passe afin d’ébranler la victime. La capture d’écran en haut de cette page est l’un des exemples, que vous avez pu vous-même rencontrer.

Modus operandi : le protocole SMTP

Pour l’envoi des courriels, Phorpiex recourt à une simple implémentation du protocole SMTP. Il induit l’adresse d’un serveur SMTP au départ du nom de domaine d’une adresse courriel. Après avoir établi une connexion vers le serveur SMTP et avoir reçu un message d’invitation, le bot à pourriels envoie un message avec sa propre adresse IP externe.

Des gains en bitcoins pour les hackers

Des porte-monnaies bitcoin sont utilisés pour collecter les gains.
Pendant les cinq mois qu’ont duré son exercice d’observation et ses recherches, Check Point a enregistré des transferts de plus de 11 BTC vers des porte-monnaies de sextorsion Phorpiex.

- Le rapport complet (en anglais)