23 sep. 2018

Mensajes extorsivos: "Su cuenta ha sido pirateada"

En los últimos días hemos recibidos decenas de reportes de usuarios que dicen estar recibiendo correos extorsivos (sextorsion) sobre el supuesto "pirateo" de su computadora y la consecuente exposición de archivos privados sensibles, como fotos y videos. Los usuarios pueden denunciar estos correos a [email protected].

El correo habla de la instalación de un RAT (Remoto Access Trojan) que permitiría al delincuente espiar las acciones y archivos del usuario afectado. Por supuesto todo es mentira pero, como se verá, los usuarios pueden dudar de la veracidad del correo e incluso llegar a pagar.

Hasta al momento hemos registrado 3 correos con  textos similares a este:
Este es el contenido de uno de los correos extorsivos (errores incluidos):
Hola, querido usuario de gmail.com.

Hemos instalado un software RAT en su dispositivo.
En este momento su cuenta de correo electrónico está hackeada (ver en , ahora tengo acceso a tus cuentas).
He descargado toda la información confidencial de su sistema y obtuve más evidencia.
El momento más interesante que he descubierto son los registros de videos de tu masturbación.

Publiqué mi virus en un sitio pornográfico y luego lo instalé en su sistema operativo.
Cuando hizo clic en el botón Reproducir en video porno, en ese momento mi troyano se descargó en su dispositivo.
Después de la instalación, la cámara frontal toma videos cada vez que te masturbas, además, el software se sincroniza con el video que elijas.

Por el momento, el software ha recopilado toda su información de contacto de redes sociales y direcciones de correo electrónico.
Si necesita borrar todos sus datos recopilados, envíeme $150 en BTC (moneda cifrada).
Esta es mi billetera de Bitcoin: 1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA
Tienes 48 horas después de leer esta carta.

Después de su transacción, borraré todos sus datos.
De lo contrario, enviaré videos con tus trastada a todos tus colegas y amigos.

¡Y de ahora en adelante ten más cuidado!
Por favor visite solo sitios seguros!
¡Adiós!
Estos correos son similares a los propagados hace un par de meses con mensajes "sextorsivos" que amenazaban con difundir la contraseña del usuario. Al igual que en aquella oportunidad, los correos son genéricos, enviados de forma aleatoria a millones de usuarios y con el claro objetivo de asustar a la persona que lo reciba.

Bajo ninguna circunstancia se debe responder y mucho menos pagar.

Al momento de recibir el primer reporte, el pasado 21 de septiembre a las 10hs, ya habían pagado 11 personas un total de 0,25 btc (U$S1.600 al precio actual). Y, al momento de escribir el presente, 48hs después, la cantidad de usuarios que han pagado al delincuente se ha duplicado (con un total de 0,46 btc = U$S 3.000).
Cuando se analiza los montos de las transferencias, se puede determinar que algunos usuarios han transferido 150 pesos argentinos (aprox. 0,0007 btc) y otros han transferidos 150 dólares norteamericanos (aprox. 0,033 btc), ya que en el correo no queda aclarado.

A modo de ejemplo, y simplemente para analizar las ganancias de los delincuentes, se hizo un análisis de las billeteras de Bitcoin mencionadas en los distintos correos recibidos:
Como sea, el delincuente ha ganado aproximadamente U$S 3.000 U$S 7.000 simplemente haciendo creer a los usuarios que ha invadido su privacidad y que tiene algo para revelar. ¿Será por aquel dicho que dice que todos tenemos algo que esconder y de avergonzarnos?

Bloqueo de los correos

Realizar el bloqueo de esta campaña es difícil ya que los correos provienen desde "direcciones aleatorias". Los delincuentes utilizan servidores de servicios SMTP vulnerados y mediante la técnica de email spoofing hacen creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y por lo tanto el engaño es más creíble.

Actualización 25/09: las cuentas han sido vaciadas y los bitcoin han sido movidos a dos cuentas recaudadoras que hasta el momento acumulan 5,33 btc y 6,29 btc respectivamente (U$S 73.000).

Cristian de la Redacción de Segu-Info

5 comentarios:

  1. Parece haber otra cuenta con 6.19BTC. No estoy seguro (no conozco mucho ese mundillo), pero de ser así estamos hablando de ~73.800USD. Increíble.

    ResponderEliminar
  2. Yo lo he recibido en estos días, pero no he pagado nada.. gracias por la información.

    ResponderEliminar
  3. Hola Cristian, entiendo que estos delincuentes hacen esto desde servidores SMTP vulnerados, pero para un dominio que tenga DKIM, SPF y DMARC implementado es posible que te sigan haciendo email spoof? De ser así, ¿Cuál es la forma de evitar que te hagan un spoof de tu cuenta?
    Saludos.

    ResponderEliminar
  4. Vivo en México y recibí un correo casi igual el 21 de septiembre (hace cinco días) y piden $250. Quien envía dicho correo es el usuario [email protected]

    Por supuesto no he pagado y no pagaré un solo centavo. No ha pasado absolutamente nada.

    Gracias por la explicación.

    ResponderEliminar
  5. Mi problema es la direccion de envio es mi mismo correo, por lo que no comprendo que hacer

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!