23 sept 2018

Mensajes extorsivos: "Su cuenta ha sido pirateada"

En los últimos días hemos recibidos decenas de reportes de usuarios que dicen estar recibiendo correos extorsivos (sextorsion) sobre el supuesto "pirateo" de su computadora y la consecuente exposición de archivos privados sensibles, como fotos y videos. Los usuarios pueden denunciar estos correos a [email protected].

El correo habla de la instalación de un RAT (Remoto Access Trojan) que permitiría al delincuente espiar las acciones y archivos del usuario afectado. Por supuesto todo es mentira pero, como se verá, los usuarios pueden dudar de la veracidad del correo e incluso llegar a pagar.

Hasta al momento hemos registrado 3 correos con  textos similares a este:
Este es el contenido de uno de los correos extorsivos (errores incluidos):
Hola, querido usuario de gmail.com.

Hemos instalado un software RAT en su dispositivo.
En este momento su cuenta de correo electrónico está hackeada (ver en , ahora tengo acceso a tus cuentas).
He descargado toda la información confidencial de su sistema y obtuve más evidencia.
El momento más interesante que he descubierto son los registros de videos de tu masturbación.

Publiqué mi virus en un sitio pornográfico y luego lo instalé en su sistema operativo.
Cuando hizo clic en el botón Reproducir en video porno, en ese momento mi troyano se descargó en su dispositivo.
Después de la instalación, la cámara frontal toma videos cada vez que te masturbas, además, el software se sincroniza con el video que elijas.

Por el momento, el software ha recopilado toda su información de contacto de redes sociales y direcciones de correo electrónico.
Si necesita borrar todos sus datos recopilados, envíeme $150 en BTC (moneda cifrada).
Esta es mi billetera de Bitcoin: 1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA
Tienes 48 horas después de leer esta carta.

Después de su transacción, borraré todos sus datos.
De lo contrario, enviaré videos con tus trastada a todos tus colegas y amigos.

¡Y de ahora en adelante ten más cuidado!
Por favor visite solo sitios seguros!
¡Adiós!
Estos correos son similares a los propagados hace un par de meses con mensajes "sextorsivos" que amenazaban con difundir la contraseña del usuario. Al igual que en aquella oportunidad, los correos son genéricos, enviados de forma aleatoria a millones de usuarios y con el claro objetivo de asustar a la persona que lo reciba.

Bajo ninguna circunstancia se debe responder y mucho menos pagar.

Al momento de recibir el primer reporte, el pasado 21 de septiembre a las 10hs, ya habían pagado 11 personas un total de 0,25 btc (U$S1.600 al precio actual). Y, al momento de escribir el presente, 48hs después, la cantidad de usuarios que han pagado al delincuente se ha duplicado (con un total de 0,46 btc = U$S 3.000).
Cuando se analiza los montos de las transferencias, se puede determinar que algunos usuarios han transferido 150 pesos argentinos (aprox. 0,0007 btc) y otros han transferidos 150 dólares norteamericanos (aprox. 0,033 btc), ya que en el correo no queda aclarado.

A modo de ejemplo, y simplemente para analizar las ganancias de los delincuentes, se hizo un análisis de las billeteras de Bitcoin mencionadas en los distintos correos recibidos:
Como sea, el delincuente ha ganado aproximadamente U$S 3.000 U$S 7.000 simplemente haciendo creer a los usuarios que ha invadido su privacidad y que tiene algo para revelar. ¿Será por aquel dicho que dice que todos tenemos algo que esconder y de avergonzarnos?

Bloqueo de los correos

Realizar el bloqueo de esta campaña es difícil ya que los correos provienen desde "direcciones aleatorias". Los delincuentes utilizan servidores de servicios SMTP vulnerados y mediante la técnica de email spoofing hacen creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y por lo tanto el engaño es más creíble.

Actualización 25/09: las cuentas han sido vaciadas y los bitcoin han sido movidos a dos cuentas recaudadoras que hasta el momento acumulan 5,33 btc y 6,29 btc respectivamente (U$S 73.000).

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

9 comentarios:

  1. Parece haber otra cuenta con 6.19BTC. No estoy seguro (no conozco mucho ese mundillo), pero de ser así estamos hablando de ~73.800USD. Increíble.

    ResponderBorrar
  2. Yo lo he recibido en estos días, pero no he pagado nada.. gracias por la información.

    ResponderBorrar
  3. Hola Cristian, entiendo que estos delincuentes hacen esto desde servidores SMTP vulnerados, pero para un dominio que tenga DKIM, SPF y DMARC implementado es posible que te sigan haciendo email spoof? De ser así, ¿Cuál es la forma de evitar que te hagan un spoof de tu cuenta?
    Saludos.

    ResponderBorrar
  4. Vivo en México y recibí un correo casi igual el 21 de septiembre (hace cinco días) y piden $250. Quien envía dicho correo es el usuario [email protected]

    Por supuesto no he pagado y no pagaré un solo centavo. No ha pasado absolutamente nada.

    Gracias por la explicación.

    ResponderBorrar
  5. Mi problema es la direccion de envio es mi mismo correo, por lo que no comprendo que hacer

    ResponderBorrar
  6. Buenos Días Cristian, el día de hoy al despertar encontré en la bandeja de mi correo un asunto que dice "Los hackers piratearon tu cuenta. Cambie los datos de acceso inmediatamente" el cúal elimine inmediatamente; pero me genero gran inquietud el por que fue enviado desde mi cuenta personal, gracias infinitas por la aclaración sobre esta nueva forma de extorsión.

    El contenido total del correo es el siguiente:


    ¡Hola!

    Como te habrás dado cuenta, te envié un correo electrónico desde tu cuenta.
    Esto significa que tengo acceso completo a su cuenta.

    Te he estado observando desde hace unos meses.
    El hecho es que usted fue infectado con malware a través de un sitio para adultos que visitó.

    Si no estás familiarizado con esto, te lo explicaré.
    Trojan Virus me da acceso y control total sobre una computadora u otro dispositivo.
    Esto significa que puedo ver todo en su pantalla, encender la cámara y el micrófono, pero usted no lo sabe.

    También tengo acceso a todos sus contactos y toda su correspondencia.

    ¿Por qué tu antivirus no detectó malware?
    Respuesta: Mi malware usa el controlador, actualizo sus firmas cada 4 horas para que su antivirus esté silencioso.

    Hice un video que muestra cómo te satisfaces yo mismo en la mitad izquierda de la pantalla, y en la mitad derecha ves el video que viste.
    Con un clic del mouse, puedo enviar este video a todos sus contactos de correo electrónico y contactos en las redes sociales.
    También puedo publicar el acceso a toda su correspondencia de correo electrónico y a los mensajeros que utiliza.

    Si desea evitar esto, transfiera la cantidad de $254 a mi dirección de bitcoin (si no sabe cómo hacerlo, escriba a Google: "Comprar Bitcoin").

    Mi dirección de bitcoin (BTC Wallet) es: 1JgjcCi7sWmr3L7YXKaTAW2qoQdKztcSeu

    Después de recibir el pago, eliminaré el video y usted es nunca más oirá a saber de mí.
    Te doy 48 horas para pagar.
    Tengo un aviso leyendo esta carta, y el temporizador funcionará cuando abres esta correo.

    Archivar una queja en algún lugar no tiene sentido porque este correo electrónico no puede ser rastreado como y mi dirección de bitcoin.
    No cometo erroes.

    Si descubro que ha compartido este mensaje con otra persona, el video se distribuirá de inmediato.

    ¡Los mejores deseos!

    Gracias por tu atención.

    ResponderBorrar
    Respuestas
    1. oye el dia de hoy me llego el mismo correo, cuentame, sucedio algo luego de ello?

      Borrar
  7. Gracias por la información.
    He recibido varios correos sobre este tema. Todos ellos los he ignorado, sin ningún problema hasta ahora.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!