Onderzoekers hebben malware ontdekt die opnames maakt van pornosites die de gebruiker bezoekt en de opnames vervolgens naar een server uploadt. De malware wordt door antivirusbedrijf ESET Varenyky genoemd en richt zich vooralsnog alleen op Franstalige internetgebruikers.
De verspreiding van de malware vindt plaats via e-mailbijlagen. Slachtoffers ontvangen een e-mail die zogenaamd een factuur als bijlage heeft. Het gaat om een Word-document met kwaadaardige macro's. Als gebruikers ervoor kiezen om de macro's in te schakelen wordt de malware gedownload en uitgevoerd. Dit gebeurt alleen als de gebruiker Frankrijk als land en Frans als taal heeft ingesteld. Ook wordt er gekeken naar de indeling van het toetsenbord. Wanneer het slachtoffer hier niet aan voldoet verschijnt er een melding dat het programma niet in de regio van de gebruiker beschikbaar is.
Wanneer de malware is geïnstalleerd zal die het systeem gebruiken voor het versturen van spamberichten. Tevens worden in de browser en e-mailclient opgeslagen wachtwoorden gestolen. Wat de malware echter doet opvallen is het opnemen van pornosites die de gebruiker bezoekt. Hiervoor downloadt Varenyky het programma FFmpeg. Zodra de gebruiker een website met het woord "sexe" bezoekt wordt er een schermopname gemaakt. Na de opname wordt de video naar een server van de aanvaller gestuurd.
ESET stelt dat deze video's kunnen worden gebruikt om het slachtoffer af te persen, ook al is de gebruiker zelf niet op de beelden te zien. In tegenstelling tot andere malware-exemplaren die opnames via de webcam maken, neemt Varenyky alleen het scherm op. Er zijn echter nog geen aanwijzingen dat de aanvaller de opnames voor afpersing heeft gebruikt.
Wel heeft de malware eind vorige maand spamberichten verstuurd waarin gebruikers van het bekijken van porno werden beschuldigd. Vervolgens moet er een bedrag worden betaald om publicatie van de zogenaamd opgenomen beelden te voorkomen. Het ging echter om een standaard afpersingsmail die al maanden rondgaat. Daarnaast verstuurt de malware ook spamberichten die naar malafide enquêtes wijzen en persoonlijke informatie en creditcardgegevens proberen te ontfutselen.
Deze posting is gelocked. Reageren is niet meer mogelijk.