Varenyky spambot pour du sextorsion

Varenyky est un spambot qui vise les PC français.
Le but est d’utiliser le PC pour envoyer des emails malveillants et notamment pour du sextorsion.

Voici un article qui vous présente ce cheval de troie.

La diffusion de Varenyky

Le trojan se diffuse par email malveillant.
Par exemple ci-dessous, un document Word est envoyé.
Ce dernier indique ensuite que le document est protégé.
Il faut activer la macro.
Une fois faites, celle-ci télécharger Varenyky et l’installe sur l’ordinateur.
Ces procédés ne sont pas nouveau, un article existe sur le site : Les virus par Word et Excel (documents Office) : comment s’en protéger

Dans cet autre exemple, il s’agit d’une fausse facture qui vise les entreprises.
Un fichier HTML est attaché qui propose ensuite de télécharger un exécutable.
Il s’agit du cheval de troie.

Ce mode de diffusion n’a rien de nouveau, se reporter à notre article : Les virus par mail.

Lors de l’exécution, le malware extrait la langue de Windows.
Si celle-ci n’est pas en français, un message s’affiche et l’exécution s’arrête là.
Si c’est un Windows en français, le malware s’active.
En clair donc, le malware est programmé pour viser les PC français.

Varenyky dans Windows

Puis le cheval de troie s’installe dans Windows.
Rien de vraiment extraordinaire.

Il s’installe dans un dossier aléatoire de %APPDATA%.
Soit donc dans le profil utilisateur de Windows.

Puis il créé une clé Run pour se lancer au démarrage de Windows.

Enfin la communication se fait à travers Tor.
Ainsi le processus démarre aussi un client tor.
Le serveur de contrôle se trouvant sur le réseau Tor.

Cela n’est pas très discret puisqu’on retrouve out cela dans le gestionnaire de tâches de Windows.

Certains antivirus le détecte en Backdoor.Boulet.
Voici l’analyse VirusTotal de la variante observée.

Un Spam pour du sexthorsion

Comme tout trojan, il permet le contrôle à distance du PC au moyen d’ordres envoyés par le botmaster.
Ainsi le malware reconnaît quelques ordres.
On trouve les ordres habituels :

• Télécharger et installer d’autres malwares
• S’auto-détruire
• Ouvrir des applications installées
• Voler les mots de passe des navigateurs WEB

D’après ESET le malware possédait dans des versions antérieures, la possibilité de trouver des fenêtres d’application avec les mots suivants.

Puis cela s’est réduit au mot sexe.
Enfin il utilise FFmpeg afin d’enregistrer le contenu de l’ordinateur.
Le but est probablement de récupérer des vidéos où l’utilisateur visite des sites pornographiques.
Elles peuvent ensuite être remontées au C&C.
Ainsi Varenyky est surtout penser pour exercer du chantage par sextorsion.

Les arnaques iphone et samsung

Enfin le Trojan Varenyky possède des fonctions de spambot.
Il est utiliser pour diffuser des arnaques iphones.
Le but est de faire croire que vous avez gagné un iphone ou smartphone Samsung.
Au final on vous redirige vers un formulaire à remplir et on demande vos coordonnées bancaires.
Il s’agit en réalité de vous inscrire à un abonnement mensuel pouvant aller de 45 à 90 euros.

La page suivante évoque ces arnaques très en vogue depuis quelques années.

Sextorsion et faux piratage

Enfin Varenyky diffuse aussi des mails liés à des sextorsions.
On vous faire croire qu’un pirate vous a filmé en train de regarder des films pornographiques.
Il demande un paiement en échange de son silence.
Ce paiement se fait en cryptomonnaie.
C’est une forme d’attaque par ingénierie sociale devenue très courante.

Là aussi un article assez complet existe sur le site.

D’après ESET, aucune preuve n’a encore été trouvée sur l’utilisation des vidéos qui auraient pu être récupérés par le malware.
De plus, dans ces chantages par mail, on parle souvent de film par la webcam.
Or Varenyky ne semble pas utiliser celle-ci.
Ainsi, il s’agit surtout d’un malware utilisé comme spambot pour le sextorsion.
Enfin notons qu’il ne s’agit pas du seul malware à diffuser ces arnaques.
Par exemple le botnet Phorpiex le fait aussi.
Plus d’informations : Le juteux botnet Phorpiex et TrikLoader