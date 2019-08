Non è più solo una truffa: Varenyky cattura lo schermo e le immagini dalla webcam.

Lo scenario dovrebbe ormai essere noto: arriva un'email dall'aria ufficiale ma scritta appositamente per gettare nel panico facendo leva sulle umane debolezze degli utenti.

Il mittente afferma di possedere dei video che ritrarrebbero il destinatario in momenti compromettenti - in particolare mentre stava guardando del materiale pornografico - e di essere pronto a divulgarli a meno che non riceva un pagamento in Bitcoin.

Tale pratica va sotto il nome di sextortion ed è in circolazione da parecchio tempo, tanto che ormai tutti dovrebbero sapere che generalmente si tratta di una truffa: i video - che sarebbero stati registrati dalla webcam - in realtà non esistono. Chi scrive le email spera che il terrore prenda rapidamente il controllo della vittima e che questa paghi senza pensarci troppo su.

Eppure, alle volte quei video sono reali.

I ricercatori di Eset hanno scoperto un malware attivo dallo scorso maggio, che hanno battezzato Varenyky e che colpisce i PC con Windows, il cui scopo è sottrarre dalle macchine infettate le credenziali di login, impossessarsi delle informazioni relative a conti bancari e carte di credito, e infine attivare la registrazione dello schermo e della webcam (se presente, ovvio) quando l'utente guarda video a luci rosse.

Al momento il malware sembra prendere i mira solo i clienti dell'operatore francese Orange, ma ovviamente potrebbe sempre essere modificato in seguito per allargare il proprio campo d'azione.

A seguito dell'infezione da Varenyky, naturalmente, arriva l'email con il ricatto. Il testo è abbastanza standard: l'autore afferma di essere in possesso dei contatti della vittima, mostra una password effettivamente adoperata (acquisita tramite uno dei vari furti di password del passato) e chiede il versamento di una certa cifra in Bitcoin entro 72 ore dietro la minaccia di diffondere il video, che questa volta potrebbe essere vero.

Per operare la prima infezione, Varenyky si diffonde tramite email di spam che millantano di provenire da Orange e portano in allegato un documento Word, apparentemente a proposito di una bolletta telefonica. Se lo si apre, esso chiede di «verificare di essere una persona e non un bot», che altro non è se non un modo per attivare le macro inserite nel documento. E così il malware s'installa.

Lo staff di Eset, pur confermando le capacità di registrazione di Varenyky e il fatto che la campagna di spam è a esso legata, afferma di non aver trovato alcun video catturato dal malware e sfruttato dal suo autore. O, per lo meno, per adesso sembra che ancora non ne esistano.