Le malware qui se propage par email dévoilé par ESET
Les chercheurs en cybersécurité d’ESET ont dévoilé un nouveau programme malveillant qui pourrait bien relancer la tendance à la sextorsion. Varenyky, ainsi nommé par les chercheurs, est un programme malveillant de type spambot. Ce logiciel malveillant observé pour la première fois en mai 2019 distribue plusieurs types de courriers indésirables. L’un mène à un sondage vers un faux jeu concours avec à la clé un smatphone. L’autre s’avère être une campagne de sextorsion.
Toujours selon les propos rapportés par les chercheurs d’ESET, le programme serait toujours en développement. On le remarque aux nombreux changements depuis sa première observation. Varenyky a la possibilité de voler les mots de passe et d’utiliser FFmpeg. La menace avait déjà été mentionnée sur la page Twitter de ANY.RUN.
Campagnes de spam autour des utilisateurs français
Pour le moment, Varenyky s’attaque uniquement aux utilisateurs français de Windows qui utilisent des adresses email du réseau Orange. Le virus envoie un email indiquant qu’un paiement de plusieurs centaines d’euros a bien été effectué. Il est joint à ce mail une facture au format Word du soi-disant paiement. Lorsque celle-ci est ouverte, une macro s’exécute, vérifiant que la cible est bien française. Si ce n’est pas le cas, le malware disparaît sans dommage.
Le virus enregistre s’il détecte le mot « sexe »
Par contre, si l’utilisateur est français, Varenyky va télécharger d’autres logiciels pour attaquer sa cible. Une fois l’ordinateur infecté, des mails peuvent être envoyés à la liste de contacts de l’utilisateur, les invitant à participer à un jeu concours pour gagner un smartphone. Cette technique de phishing a pour but de collecter des données personnelles ainsi que des codes de cartes bancaires.
Au final, Varenyky est un spambot peu développé. On le remarque par exemple dans la macro du fichier Word en pièce jointe. L’opérateur oublie de modifier la variable test_debug, donc le spambot sera installé à l’ouverture de la pièce jointe quelle que soit la langue du système sur lequel il se trouve. Et même s’il peut enregistrer une vidéo alors qu’un utilisateur regarde du contenu pornographique, il n’a été recueilli à ce jour aucune preuve incluant qu’elles étaient exploitées par les développeurs du virus.
Toutefois, nous recommandons aux internautes d’analyser avec soin les pièces jointes provenant de sources inconnues avant de les ouvrir. De plus, pour être protégé de la plupart des menaces en ligne, privilégiez les sites sécurisés et maintenez votre système et votre solution antivirus à jour. Nous ne le répéterons jamais assez !
