Attenzione a “Stealerium”, il virus che attiva la webcam fotografando l’utente che visita siti per adulti
Si chiama Stealerium, è open source, si trova su GitHub ed è descritto con ironia cinica come «solo per fini educativi». In realtà, è un malware capace di trasformare un vizio privato in un’arma di ricatto. Monitora la navigazione online alla ricerca di parole chiave legate alla pornografia, scatta uno screenshot del contenuto visualizzato e, nello stesso istante, attiva la webcam per fotografare l’utente.
Le immagini, raccolte senza alcun preavviso, vengono inviate a un server controllato dall’hacker che poi può provare a estorcere denaro in cambio delle foto dell’utente. Una funzione automatica pensata per la sextortion - la forma di estorsione informatica che punta sulla vulnerabilità individuale - che trasforma l’imbarazzo in vettore di attacco.
A rilevarne l’esistenza è la società americana di cybersecurity Proofpoint, che ha tracciato da maggio diverse campagne di distribuzione basate su Stealerium. Il malware viene inviato via email attraverso allegati o link camuffati da fatture o comunicazioni amministrative, con esche tipiche dei tentativi di phishing.
I messaggi sono indirizzati a dipendenti di aziende del settore alberghiero, educativo e finanziario, ma secondo i ricercatori anche utenti privati possono essere stati colpiti, al di fuori della rete monitorata.
Una volta installato sul dispositivo, Stealerium agisce come un infostealer convenzionale: estrae credenziali di accesso, informazioni bancarie, dati salvati nei browser, cookie e chiavi per portafogli di criptovalute.
Il salto rispetto ad altri malware della stessa categoria sta nell’aggiunta di una funzione automatizzata: il programma osserva in tempo reale le schede del browser e, se rileva url o contenuti che contengono termini come «porn» o «sex» - modificabili dall’hacker che colpisce - scatta uno screenshot e attiva la webcam.
Proofpoint non ha individuato al momento vittime confermate di questo tipo di attacco, ma la presenza di una funzione così strutturata suggerisce un uso già previsto, se non già avvenuto.
In passato si sono registrati casi di estorsione sessuale via email in cui gli hacker sostenevano di avere video compromettenti ottenuti da remoto: in quel contesto, la minaccia era quasi sempre priva di fondamento. In questo caso, invece, la raccolta del materiale avviene realmente e in modo automatizzato. Il codice sorgente del malware è stato pubblicato su GitHub da un utente che si firma «witchfindertr», si presenta come «malware analyst» di Londra e si dichiara non responsabile per eventuali usi impropri.
Secondo Proofpoint, la scelta di puntare su obiettivi individuali e non su grandi aziende potrebbe riflettere una strategia adottata da gruppi cybercriminali meno strutturati, che evitano operazioni ad alto profilo per ridurre l’esposizione alle indagini. Un precedente simile risale al 2019, quando la società di cybersicurezza slovacca Eset individuò una campagna di malware con funzionalità analoghe rivolta a utenti francofoni. In quel caso, tuttavia, l’attacco richiedeva l’attivazione manuale da parte di chi voleva rubare i dati.
Fonte: Il Messaggero
