“Використання цієї програми є вашою відповідальністю,” зазначено на сторінці. “Я не несу відповідальності за жодні незаконні дії. Мене не цікавить, як ви її використовуєте.
У кампаніях зламу, які проаналізував Proofpoint, кіберзлочинці намагалися обманути користувачів, спонукаючи їх завантажити та встановити Stealerium через вкладення або веб-посилання, використовуючи типові уловки, такі як фальшиві платежі або рахунки-фактури. Електронні листи націлювалися на жертв у компаніях сфери гостинності, а також в освіті та фінансах, хоча Proofpoint зазначає, що користувачі за межами компаній також могли бути об’єктом атаки, але цього не було видно за допомогою їхніх інструментів моніторингу.
Після встановлення Stealerium призначено для викрадення різноманітних даних і їх відправки хакеру через сервіси, такі як Telegram, Discord або електронну пошту в деяких варіантах шкідливого ПЗ. Всі ці функції є відносно стандартними для інфостилерів. Дослідників більше здивувала автоматизована функція шантажу, яка відстежує URL-адреси в браузері на предмет наявності термінів, пов’язаних з порнографією, таких як “sex” і “porn”, і може бути налаштована хакером для одночасного захоплення зображень з вебкамери та браузера. Proofpoint зазначає, що не виявлено конкретних жертв цієї функції шантажу, однак існування такої опції свідчить про її ймовірне використання.
Більш традиційні методи сексуального шантажу є поширеною тактикою вимагання серед кіберзлочинців, і кампанії обману, у яких хакери стверджують, що мають фотографії жертв на вебкамеру при перегляді порнографії, також турбували користувачів у останні роки — деякі навіть намагаються підвищити свою достовірність, прикріплюючи фотографії будинку жертви, отриманих з Google Maps. Але автоматизоване захоплення зображень вебкамери користувачів, які переглядають порнографію, “майже не чувалося”, стверджує дослідник Proofpoint Кайл Кучі. Єдиний відомий аналогічний приклад, за його словами, був у кампанії шкідливого програмного забезпечення, яка націлювала на франкомовних користувачів у 2019 році, виявлена словацькою компанією з кібербезпеки ESET.
Перехід до націлювання на окремих користувачів з автоматизованими функціями шантажу може бути частиною загальнішої тенденції деяких кіберзлочинців — особливо менш потужних груп — відмовлятися від високовидимих, масштабних атак з програмами-вимагачами та ботнетами, які мають схильність привертати увагу правоохоронних органів, зазначає Ларсон з Proofpoint.
“Для хакера це не те саме, що зламувати компанію на декілька мільйонів доларів, що спричиняє значні наслідки,” порівнює Ларсон тактики шантажу з операціями з програмами-вимагачами, які намагаються витягнути суми з семизначними числами з компаній. “Вони намагаються заробляти на людях по одному. І, можливо, на таких, хто почуватиметься сором’язливо, повідомляючи про це.”