NUEVAMENTE LA REALIDAD SUPERA A LA FICCIÓN. Tal como ocurre en el tercer episodio de la temporada tres de Black Mirror, “Cállate y baila”, donde un joven es hackeado a través de su cámara web y después chantajeado por ciberdelincuentes que lo graban en un momento íntimo. Hoy, algo parecido sucede fuera del guion: un programa espía ha convertido el delito de sextorsión en un proceso automatizado. Detecta cuando un usuario accede a pornografía en su computadora, realiza una captura de pantalla y toma una fotografía de la víctima a través de la cámara web. ¿De qué se trata?
La empresa de seguridad Proofpoint difundió el miércoles un análisis sobre una variante de malware de código abierto, identificada como Stealerium, que cuenta con una función centrada en datos relacionados con la pornografía.
“El malware incluye una función enfocada en datos relacionados con la pornografía. Puede detectar pestañas del navegador con contenido para adultos, tomar una captura de pantalla del escritorio y de la cámara web. Es probable que esas imágenes se usen posteriormente para la sextorsión. Aunque esta capacidad no resulta novedosa dentro del malware de ciberdelincuencia, no es común”, señaló la compañía en su blog.
Un malware infostealer de código abierto es un programa malicioso creado para robar información sensible como contraseñas, cookies de navegador, datos bancarios, credenciales guardadas y archivos. Al tratarse de código abierto, su contenido se encuentra disponible en repositorios públicos —como GitHub y canales de mensajería—, en lugar de permanecer en manos exclusivas de un grupo de ciberdelincuentes.
Por su parte, el término malware abarca cualquier software malicioso diseñado para dañar, espiar, robar o interrumpir un sistema informático. Y existen diferentes tipos: virus (infectan archivos para propagarse), troyanos (se hacen pasar por programas legítimos), ransomware (secuestra datos y exige un rescate) y spyware o infostealers (espían y extraen información sensible).
EL INICIO DE UN NUEVO CIBERDELITO
Proofpoint, junto con la revista Wired, explicó que Stealeriumapareció en 2022 como malware de código abierto disponible gratuitamente en GitHub, una plataforma que funciona como “red social” para programadores, donde se almacenan y comparten códigos. Todavía es posible descargarlo con fines educativos. Sin embargo, esa apertura lo convirtió en un recurso doble: resulta útil para investigadores de ciberseguridad, pero también ofrece a actores maliciosos la posibilidad de modificarlo y perfeccionarlo. El resultado ha sido la multiplicación de variantes difíciles de detectar y neutralizar.
“Aunque el malware existe desde hace tiempo, los investigadores de Proofpoint observaron recientemente un aumento en las campañas que distribuyen versiones basadas en Stealerium”, añadió la compañía.
Según su análisis, los usuarios suelen quedar expuestos a través de correos electrónicos que suplantan la identidad de fundaciones benéficas, bancos, tribunales o servicios de documentación, ganchos o señuelos habituales en fraudes electrónicos. Los asuntos de esos mensajes transmiten urgencia o relevancia financiera con frases como “pago pendiente”, “citación judicial” y “factura de donación”.
En este contexto, un señuelo (o decoy, en inglés) se diseña para simular activos reales con el fin de engañar a los atacantes, desviar su atención o recolectar información sobre sus tácticas y objetivos.
EN BUSCA DE PALABRAS CLAVE: ASÍ OPERA EL MALWARE MALICIOSO
En palabras de Wired, Stealerium tiene además una forma de espionaje más humillante: monitorea el navegador de la víctima en busca de direcciones web que incluyan las letras clave “NSFW”, que son las siglas en inglés de “Not Safe For Work” (no apto para el trabajo, en español). Este término se usa para etiquetar contenido en internet que contiene elementos sexualmente explícitos, desnudos, violencia, lenguaje ofensivo o cualquier otro tema que sea inapropiado para ver en un entorno laboral o público.
Imagen que muestra las cadenas porn o sex. (Proofpoint)
“El malware consulta las ventanas abiertas del navegador de la víctima para comprobar si alguna de las siguientes cadenas: porn o sex, aparecen en los títulos de las páginas web abiertas. Una vez enumerados y organizados los datos mencionados, Stealerium puede exfiltrarlos de varias maneras”, apunta la empresa de seguridad.
Una de ellas es SMTP. Este método usa una dirección de destinario y otra de remitente. Sin embargo, las direcciones de remitente que suelen utilizar son empresas o personas que el ciberdelincuente suplanta. Los datos almacenados que recopila el malware se comprimen en un archivo, se adjuntan a un correo y se envía a la dirección del destinatario. Asimismo, Stealerium puede filtrar datos a una cuenta de Telegram controlada por un actor o ciberdelincuente.
A tenor de Selena Larson, una de las investigadoras de Proofpoint que trabajó en el análisis de la empresa, citada por Wired, para un ciberdelincuente no se trata de desmantelar una empresa multimillonaria que causará revuelo, “intentan monetizar a las personas una a una y quizás a individuos que podrían avergonzarse de denunciar un tema de esa índole”. N
