Le principe de la sextorsion est simple : un email de chantage menace d’exposer du contenu du destinataire à caractère sexuel sauf si un paiement est effectué. Beaucoup d’entre nous ont reçu de tels emails ou connaissent d’autres personnes qui en ont reçu. Peu ont payé les sommes demandées, mais ce pourrait-il que vous ayez diffusé sans le savoir 15 000 de ces emails de sextorsion à des victimes innocentes ?

Enquêtant sur cette tendance actuelle, Check Point Research a découvert un botnet qui fait précisément cela : il utilise les milliers d’hôtes infectés sous son contrôle pour diffuser des millions de menaces à des destinataires innocents.

Le botnet Phorpiex (appelé également Trik) est actif depuis presque au moins une décennie et exploite actuellement plus de 450 000 hôtes infectés. Dans le passé, Phorpiex générait principalement des revenus en diffusant différentes autres familles de logiciels malveillants, notamment GandCrab, Pony, Pushdo, et utilisait ses hôtes pour extraire de la cryptomonnaie à l’aide de différents programmes. Depuis récemment, Phorpiex intègre un nouveau moyen de générer des revenus parmi ses fonctionnalités. Phorpiex utilise désormais un robot de spam décrit dans cet article pour effectuer des campagnes de sextorsion à grande échelle.

Depuis près de cinq mois que nous surveillons cette activité, nous avons enregistré des transferts de plus de 11 BTC vers les portefeuilles de l’auteur de Phorpiex, soit actuellement plus de 110 000 dollars. Cela peut sembler être une faible somme, mais pour une opération nécessitant peu de maintenance, et utilisant uniquement une longue liste d’identifiants et le remplacement occasionnel d’un portefeuille, cela représente un joli revenu mensuel de 22 000 dollars.

Emails de sextortion

Le botnet Phorpiex/Trik utilise un robot de spam qui télécharge une base de données d’adresses email à partir d’un serveur de commande et de contrôle. Une adresse email est sélectionnée de manière aléatoire dans la base de données téléchargée et un message est composé à partir de plusieurs chaînes codées en dur. Le robot peut générer une grande quantité d’emails de spam (jusqu’à 30 000 par heure). Chaque campagne de spam peut cibler jusqu’à 27 millions de victimes potentielles.

La caractéristique la plus intéressante des récentes campagnes de spam est que le robot de spam Phorpiex/Trik utilise des bases de données contenant des mots de passe fuités en combinaison avec des adresses email. Le mot de passe d’une victime est généralement inclus dans un email pour le rendre plus persuasif, montrant ainsi que le mot de passe est connu du pirate. Pour choquer la victime, un message commence par un texte contenant le mot de passe.

Voici un exemple d’email de sextorion créé par le robot de spam Phorpiex:

 

 

 

 

 

 

 

 

Le robot de spam est l’un des logiciels malveillants en bout de chaîne de chaque campagne Phorpiex observée en 2019. Il ne possède pas de mécanisme de persistance, car il est téléchargé et exécuté par d’autres modules Phorpiex. Voici quelques URL à partir desquelles le robot de spam a été téléchargé :

 

 

Détails techniques

Dès qu’il commence à fonctionner, le robot de spam effectue plusieurs vérifications et étapes d’initialisation, comme le reste des modules de Phropiex. Tout d’abord, pour empêcher l’exécution de plusieurs instances, il tente de créer un mutex avec un nom spécifique. Ce nom est codé en dur dans l’échantillon, mais chaque échantillon possède un nom mutex unique :

^{Figure 1 : Noms mutex du robot de spam}

Si le mutex existe déjà, le robot de spam s’arrête.  Sinon, il poursuit les étapes d’initialisation : Le robot de spam supprime le flux de fichiers alternatif « :Zone.Identifier » et ajoute une exception au pare-feu en créant une nouvelle valeur dans la clé de registre : SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
Le robot de spam ajoute la valeur « <chemin_vers_le_robot_de_spam>:*:Enabled:<nom_codé_en_dur> » à cette clé, par exemple : %TEMP%\28764.exe:*:Enabled: WDrvConfiguration

 Enfin, le robot de spam Phorpiex détermine l’entrée DNS MX du domaine « yahoo.com » ou « aol.com » et tente de se connecter à son serveur SMTP au port 25. Si le serveur SMTP est inaccessible, il cesse également de fonctionner :

 

 

 

^{Figure 2 : Vérification de l’accès au serveur SMTP de Yahoo}

Bases de données d’adresses email

Le robot de spam utilise une communication HTTP non chiffrée avec un serveur de commande et de contrôle. L’en-tête de user-agent suivant uniquement, bien qu’il ne soit pas réservé uniquement au robot de spam Phorpiex, est utilisé pour effectuer des requêtes http :

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0, et envoie une requête HTTP GET en utilisant l’URL :

hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/n.txt ou hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/p.txt

Exemple :

hxxp://193.32.161[.]69/111/n.txt
La réponse à cette requête contient un nombre N de bases de données d’adresses email stockées sur le serveur de commande et de contrôle. Des requêtes supplémentaires sont effectuées pour télécharger ces bases de données et les enregistrer dans le répertoire. %TEMP% avec l’extension « .jpg ».

Dans la boucle infinie, le logiciel malveillant génère des URL au format suivant :
hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/<nombre aléatoire>.txt
Le <nombre aléatoire> est un entier aléatoire entre 1 et N.
L'URL finale d'une base de données d’adresses email à télécharger ressemblera à ceci :
hxxp://193.32.161[.]69/111/135.txt

La base de données téléchargée est enregistrée dans le répertoire %temp% avec le nom de fichier composé de chiffres aléatoires et l’extension « .jpg », par exemple :

%temp%\5173150314183010.jpg

La base de données téléchargée est un fichier texte, contenant jusqu'à 20 000 adresses email. Au cours des différentes campagnes, nous avons observé entre 325 et 1 363 bases de données d’adresses email sur un serveur de commande et de contrôle. Chaque campagne de sextorsion peut cibler jusqu'à 27 millions de victimes potentielles. Chaque ligne de ce fichier contient une adresse email et un mot de passe délimités par « : », comme indiqué ci-dessous 

 

Le robot de spam crée un total de 15 000 threads pour envoyer des emails de spam à partir d'une base de données. Chaque thread prend une ligne au hasard à partir du fichier téléchargé. Le fichier de base de données suivant est téléchargé lorsque tous les threads sont terminés. En prenant en compte les délais, on peut estimer que le robot est capable d’envoyer environ 30 000 emails en une heure.

 

 

Diffusion du spam

Le robot de spam utilise une simple implémentation du protocole SMTP pour envoyer des emails. L'adresse du serveur SMTP est dérivée du nom de domaine d'une adresse électronique. Après avoir établi une connexion avec le serveur SMTP et obtenu un message d’invitation, le robot de spam envoie un message SMTP HELO/EHLO avec sa propre adresse IP externe qu’il a obtenue à l’aide du service icanhazip.com.

Le robot de spam tente ensuite de générer un nom de domaine aléatoire valide au format suivant : « {4 chiffres aléatoires}.com » La validité du domaine est vérifiée à l'aide d'une requête DNS. Cela entraîne une grande quantité de requêtes DNS avant de pouvoir contacter un serveur SMTP :

 

 

Lorsqu’un domaine est résolu avec succès, il est utilisé pour l'adresse de messagerie de l'expéditeur. La première partie de l’adresse email de l'expéditeur (avant le « @ ») est générée à partir d'un mot codé en dur et de 2 chiffres aléatoires. Le nom d'hôte de l'expéditeur, son adresse IP et le nom de domaine d'un faux serveur SMTP sont également des valeurs aléatoires, comme indiqué dans l'image ci-dessous :

 

 

 

 

Pour définir un champ d'objet, le robot de spam concatène le nom d'utilisateur ou le mot de passe avec des chaînes choisies au hasard (peuvent différer dans d'autres échantillons) :

 

 

 

Ainsi, si nous supposons que « jean_dupont@exemple.com » est la victime, l'objet de l’email pourrait être : « Je t'ai enregistré – jean_dupont ».

Revenus

Nous avons vu comment des pirates tentaient d'extorquer de l'argent à l'aide du robot de spam Phorpiex, mais est-ce vraiment couronné de succès ?

Check Point Research a surveillé la campagne et les portefeuilles Bitcoin extraits de tous les robots de spam que nous avons vus depuis avril 2019 et nous avons constaté que plus de 11 BTC avaient été transférés sur ces portefeuilles :

 

 

 

 

 

 

 

 

^{Tableau 2 – Portefeuilles BTC utilisés dans une campagne de sextortion}

Étant donné le nombre de transactions entrantes sur ces portefeuilles, nous pouvons également estimer le nombre total de victimes affectées par cette campagne.  Par conséquent, environ 150 victimes ont payé les agresseurs sur une période de cinq mois. C’est un très petit pourcentage, compte tenu du nombre d’emails que le robot peut générer, mais cela signifie que cette technique d'arnaque simple a réussi.

D'autre part, les mots de passe des bases de données fuitées, tels que ceux utilisés dans la campagne de sextortion, sont généralement associés à d'autres ressources que la messagerie de la victime. Les mots de passe sont le plus souvent sans importance et la valeur de ces données est assez faible. Par conséquent, ces bases de données peuvent même être disponibles en accès libre ou vendues à un prix modique. Il est difficile de voir comment les pirates peuvent utiliser ce type de données pour réaliser des bénéfices. Cependant, les auteurs de Phorpiex ont mis au point une méthode de monétisation de leur botnet qui permet d’obtenir des bénéfices raisonnables.

Conclusion

Les listes d'identifiants fuités, contenant des mots de passe souvent incompatibles avec les adresses emails associées, sont courantes et peu coûteuses. Phorpiex, un botnet existant depuis un certain temps, a trouvé un moyen de les utiliser pour générer facilement un revenu à long terme. Cette nouvelle activité pourrait être une des conséquences de l’arrêt des activités de Gandcrab, un logiciel rançonneur distribué auparavant par Phorpiex, ou tout simplement au fait que les emails en texte brut parviennent toujours à s'infiltrer dans de nombreuses lignes de cyberdéfense. Quoi qu'il en soit, Phorpiex, qui exploite actuellement plus de 450 000 hôtes infectés, diffuse en permanence des emails de sextorsion, par millions.