Sextorsión: peligroso virus saca pantallazos cada vez que un usuario visita una página porno

Los varényky o varéniques es un tradicional plato de la cocina ucraniana. Se prepara con pasta y está relleno con requesón o guinda. Es también el nombre que tomó un malware que puede realizar capturas de pantalla de los celulares o de computadores de usuarios que ingresan en una página de pornografía.

Según la empresa de ciberseguridad ESET el malware se infiltra en los dispositivos mediante un bot de spam (correo no deseado), simulando ser una cuenta impaga. El usuario abre el correo, descarga el archivo en que se le oficializa la deuda (que resulta ser falsa), minuto en que el virus se descarga en el computador.

El correo se presenta como una factura, escrita en francés, en la que se solicita un pago de 491 euros. Una vez el destinatario descarga o abre el documento, aparece un mensaje en el que se afirma que está protegido por Microsoft Word, por lo que requiere verificación humana. Tras este paso, el dispositivo queda infectado.

Pese a que el malware se conoce desde mayo, ESET ha señalado que desde entonces no ha hecho otra cosa que evolucionar, y así, evitar ser eliminado.

Aunque el virus es capaz de robar credenciales, claves y tomar el control del equipo, también está operando como un ransomware, es decir, chantajear.

Varényky detecta cuando el usuario está revisando algún sitio pornográfico, procediendo a sacar pantallazos de esta web. Más tarde, envía estas capturas de pantallas, señalándole que ha visto los sitios a los qué ha ingresado y que para evitar divulgar esta información a sus redes de contacto (que también han sido capturadas previamente), debe pagar un suma de dinero.

ESET ya registró un caso de sextorsión a un usuario en Francia. El grupo de hackers contactó a esta usuario para solicitar un pago de 750 euros en bitcoins a cambio de no compartir las grabaciones en las que, supuestamente, aparece visitando sitios de pornografía. Los ciberdelincuentes amenazaron con compartir dicho contenido con todos los contactos de la víctima.

Por ahora el malware solo se ha reportado en Europa. "Efectivamente esta campaña se detectó activa en Francia, inclusive a nivel de código del malware busca georreferenciar el dispositivo y solo infecta si está en ese país, caso contrario es inofensivo", explica a Qué Pasa Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica.

Sin embargo, agrega, nada puede asegurar que el mismo código malicioso busque en el futuro otros objetivos. "Otro grupo podría hacerse del código y propagar la amenaza a otras latitudes".

Dentro de los ataques de ingeniería social, los más frecuentes son los que hacen referencia a algún problema con una entidad financiera. "Apelan al miedo que suele generarse ante tener una deuda o un problema que pueda traer mayores consecuencias a futuro con el mundo financiero", explica Lubek.

Por ello, añade, "es fundamental, a fin de diferenciar este tipo de mensajes de uno real, que se verifiquen por lo menos varios puntos"

El primero, dice, es que el remitente del mensaje sea una dirección oficial y real de la entidad. Segundo, que el texto sea dirigido con nombre y apellido (y no como se suele ver "estimado cliente"); tercero, que los links a los que haga referencia el mensaje sean del sitio oficial de la entidad; a su vez, que cuente con un certificado SSL (la dirección empezará con HTTPS) y finalmente, que esté a nombre del emisor (generalmente este se puede ver haciendo doble click en el candado del navegador).

No obstante, en caso de suponer que el correo sea real, Lubek recomienda es que el usuario acceda por el método que utiliza regularmente al sistema financiero y verifique por sus medios si efectivamente hubo algún inconveniente o no, evitar hacer click en enlaces que lleguen por correo o herramientas de mensajería.

Si el usuario detecta que su equipo ha sido infectado debería configurar lo antes posible una herramienta de seguridad robusta (por ejemplo el ESET Internet Security) con la finalidad de frenar todo el envío de información a servidores externos, como también buscar limpiar el dispositivo infectado.

Varenyky, por ahora, únicamente puede grabar desde la pantalla del dispositivo infectado, no desde la cámara directamente al usuario. Desde esta firma de ciberseguridad señalan, a su vez, que por el momento no se ha publicado ningún contenido que haya sido robado mediante el uso de Varenyky. Por ahora.