Oszuści wciąż straszą rzekomymi nagraniami z laptopowych kamer. Nie daj się nabrać
Miała miejsce kolejna fala maili, mająca na celu nastraszenie posiadaczy kamerek internetowych. Wedle (chybotliwej składniowo) treści wiadomości, cyberprzestępcy mają być w posiadaniu nagrań… aktywności podejmowanych przez ofiary podczas przeglądania stron dla dorosłych. Warunkiem ich nieopublikowania ma być wpłacenie okupu w walucie BitCoin, równowartości 250 euro. Podstęp jest szyty naprawdę grubymi nićmi, więc nadejście nowej iteracji tego samego oszustwa jest doprawdy zdumiewające.
Niedzielną nocą (siódmego lipca), na redakcyjnej skrzynce pocztowej zaczęły się pojawiać wiadomości obwieszczające nagranie adresata. To dość osobliwa sugestia, biorąc pod uwagę to, że skrzynka jest zbiorcza. Ponieważ redakcja nie przeprowadza kolektywnych projekcji pornograficznych (ewentualnie nikt mnie na nie zaprasza), od razu widać, że kampania jest masowa i niezbyt przemyślana. Tym razem treść wiadomości jest jeszcze gorzej przetłumaczona, niż poprzednio – czego dokonano niewątpliwie maszynowo. Angielskie słowa z błędami literowymi („harvrested”) są pozostawione w niezmienionej postaci. Kampania nie jest uwiarygodniona żadnym zabiegiem, jak zeszłoroczne doklejenie rzeczywiście wyciekłego hasła z upublicznionych baz.
Coraz bardziej niechlujne próby
Do zapłaty okupu podawany jest wyłącznie portfel BitCoin, bez żadnej metody zakomunikowania powiązania transakcji z konkretną osobą (toż to niemal fundusz celowy!). Jedynym trudem zadanym sobie przez oszustów jest dodanie wzmianki o rzekomym wykorzystaniu podatności EternalBlue. Załatano ją ponad dwa lata temu i obecnie jest znana wyłącznie z zapisów historycznych, dotyczących inwazji WannaCry. Co jest więc takiego ciekawego w tym marnym podejściu do wyłudzenia pieniędzy od losowych internautów? Kilka kwestii, zarówno technicznych, jak i „społecznych”.
Detale techniczne
Zacznijmy od technicznych. Nagłówki nadawcy są rzecz jasna sfałszowane, nie jest nim bowiem ani linia lotnicza LOT ani montownia hal z płyt warstwowych. Rozwiązany adres RevDNS silnie wskazuje, że wiadomości pochodzą z komputerów osobistych tzw. „osób fizycznych”:
Received: from ip-xx-xx-xxx-xx.multi.internet.cyfrowypolsat.pl
([xxx.xxx.xxx.xxx] helo=ip-xx-xx-xxx-xx.multi.internet.cyfrowypolsat.pl) by
ASSP.nospam with SMTP (2.6.1); 7 Jul 2019 16:54:32 +0200
Received: from v-39554-unlim.vpn.mgn.ru
([xxx.xxx.xxx.xxx] helo=v-39554-unlim.vpn.mgn.ru)
by ASSP.nospam with SMTP (2.6.1); 7 Jul 2019 19:01:36 +0200
Są to adresy IP z puli przeznaczonej dla klientów domowego internetu (MGN jest rosyjskim ISP). Treść jest złożona w sposób wskazujący na wykorzystanie programu Microsoft Outlook 2007 lub 2010. Można więc założyć, że wysłane maile to efekt żmudnego oskryptowania programu Outlook. To ciekawa hipoteza, ponieważ wysyłanie wiadomości e-mail przez program Outlook jest mniej podejrzane dla antywirusów, niż wysyłanie go z niepodpisanego programu EXE zawierającego wirusa. Dlatego w mailu znajduje się góra śmieci z Worda:
xmlns:v=3D"urn:schemas-microsoft-com:vml"
xmlns:o=3D"urn:schemas-microsoft-com:office:office"
xmlns:w=3D"urn:schemas-microsoft-com:office:word" xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml"
xmlns=3D"http://www.w3.org/TR/REC-html40"
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
Nowy trend w malware?
To właśnie takie rzeczy są ciekawsze, niż sama kampania. Pakiet Office jest programowalny za pomocą komponentów COM oraz OLE, a sięgać do nich można skryptowo, z poziomu języków Visual Basic, Scripting Edition oraz Windows PowerShell. Mechanizm ten jest dostępny również w wersjach 365 rozpowszechnianych abonamentowo. Co więcej, w ich przypadku niemożliwe jest zainstalowanie oddzielnych komponentów, co w praktyce gwarantuje obecność Outlooka na komputerze.
Potencjalny wzrost popularności skryptów-wirusów wykorzystujących oskryptowanie pakietu Office, zamiast brutalnego wykorzystywania jego słabości (jak Edytor Równań) to nowe wyzwanie dla oprogramowania antywirusowego. Niedawne kampanie ponownie pokazały, jak nieskuteczne jest ono obecnie przeciw silnie zaciemnionym skryptom. Czas pokaże, na ile ten nowy kierunek będzie eksplorowany.
Modelu programowania Office nie da się bowiem praktycznie wyłączyć, w przeciwieństwie do np. makr. Fragmenty pakietu Office po prostu same z siebie są obiektami COM. Potrafi to być bardzo przydatne, co być może udowadnia arkusz przygotowany na potrzeby artykułu o programie Windows Defender. W praktyce tworzy jednak nową, niepokrytą testem, ścieżkę wykonawczą o nieograniczonych możliwościach. Może być interesująco.
Czy to się opłaca
Drugą interesującą kwestią, raczej mniej techniczną niż powyższa, jest to w jaki sposób tego typu kampanie w ogóle się jeszcze opłacają. Można tu polemizować, że wynajem botnetu to dziś z racji efektu skali marne grosze i dzięki temu notorycznie zdarzać się będą pomylone i kompletnie nieskuteczne inicjatywy. Być może. Aczkolwiek dzięki temu, że oszuści życzą sobie przelewu z BitCoinach, mamy możliwość przeanalizować opłacalność ich inicjatywy. Specyfika mechanizmu blockchain pozwala się wgryźć w historię operacji na konkretnym portfelu, ponieważ wbudowana ciągłość i jawność danych jest pośrednio mechanizmem gwarantowania wiarygodności całej waluty.
W ten sposób możemy się dowiedzieć, że istotnie już dziewięć osób dokonało wpłat. Oznacza to zarobek w wysokości 8746 złotych. Not great, not terrible. W porównaniu z dużymi internetowymi oszustwami są to grosze, ale biorąc pod uwagę rozpaczliwie niską jakość maila, na który jednak ktoś się nabrał, jest to kwota wystarczająca by uznać operację za opłacalną. Zapewne właśnie dlatego widzimy ją już w trzeciej odsłonie.
BitCoin taki prosty?
Coś jednak niezmiennie budzi wątpliwości. Istotnie, nie brak na świecie osób łatwowiernych. Gdyby było inaczej, nie byłoby wokół tak wielu oszustów. Jednak bycie tak naiwnym, by uwierzyć w niniejszego maila, a zarazem na tyle świadomym technicznie, by poprawnie przeprowadzić transakcję BitCoin – to już coś trudniejszego do wytłumaczenia. Czyżby obsługa portfeli BitCoin była już dziś aż tak prosta? Czy może te dziewięć przelewów to efekt przysług typu „pomóż mi zrobić przelew w bitcoinach, tylko nie zadawaj żadnych pytań”? To również możliwe, wszak tematyka maila może być dla niektórych kłopotliwa, przez co wstyd wygrywa z rozsądkiem.
Niesłusznie. Zwłaszcza, że – dając na chwilę wiarę oszustom – najpopularniejsze serwisy dla dorosłych są względnie bezpieczne. Chcąc rosnąć, stają się legalnym biznesem, dbają więc o bezpieczeństwo. Problemy zaczynają się na mniejszych i dziwniejszych serwisach. Takie bowiem zarabiają na mało renomowanych brokerach reklamowych, umieszczając ramki, która mogą zawierać złośliwe skrypty. Jeszcze niżej w hierarchii znajdują się strony, które same z siebie są złośliwe, tu jednak należy trafić z premedytacją, szukając na przykład treści o wątpliwej legalności lub galerii dołączanych do torrentów. Tutaj już nikt nie przejmuje się legalnością źródeł dochodu, więc wszystkie chwyty są dozwolone. Pornografia stała się jednak zwykłym biznesem, zresztą już dawno temu. I choć nie należy do treści, których dostawcom należy przesadnie ufać, bardzo często zaszkodzi ona bardziej naszej historii przeglądania, niż systemowi operacyjnemu.
Cyfrowy szantaż jest jednak możliwy. Zazwyczaj jednak przybiera zupełnie inną postać. Jeżeli chcemy zwiększyć pewność, że jesteśmy jedynie celem masowej akcji kiepskich straszaków (a niemal na pewno jesteśmy), warto sprawdzić, czy podawany portfel BTC nie został zgłoszony w bazie Bitcoin Abuse. Przede wszystkim jednak należy „nie brać cukierków od obcych” i nie wierzyć w każdego otrzymanego maila. Niniejsza kampania różni się od słynnych nigeryjskich przekrętów jedynie operowaniem na wstydzie.
