Gli autori di CryptVPN, un sofisticato malware, estorcono denaro ai pedofili tramite un sito falsificato. Questo è solo uno degli sforzi del cyber-mondo per combattere la pedopornografia.
Nel corso di un’indagine recente, gli esperti di cyber sicurezza hanno rilevato una campagna malevola con un bersaglio insolito: coloro che cercano su Internet materiale pedopornografico. Questo attacco non viene orchestrato da criminali comuni, ma dai creatori del malware CryptVPN, che hanno posto un obiettivo particolare alle loro operazioni malevole: stanare i pedofili e ripagarli alla stessa moneta.
La lotta alla pedopornografia sul Web ha una storia che risale a qualche anno fa. Già nel decennio precedente, erano comparsi diversi malware e ransomware creati appositamente per rilevare e penalizzare coloro che cercavano materiale pedopornografico in Rete. Uno dei primi ransomware di questo genere, noto come “Anti-Child Porn Spam Protection (ACCDFISA)”, bloccava il desktop di Windows e, nelle versioni più recenti, criptava i file dell’utente.
Un esempio eclatante di questi attacchi è stato quello del 2017 contro Freedom Hosting II, uno dei principali host della darknet. Dopo avere compromesso 10.613 siti .onion, l’equivalente del 15-20% dell’intera darknet, gli hacker hanno dichiarato che il loro scopo era colpire e penalizzare la massiccia circolazione di materiale pedopornografico.
Recentemente, come riporta Bleeping Computer, il team di ricerca MalwareHunterTeam ha esplorato il campione di un file eseguibile del malware CryptVPN, un raffinato strumento destinato ad allontanare i pedofili dalla Rete. Dopo un’analisi approfondita, gli esperti hanno scoperto un ingegnoso schema di trappola progettato dagli autori del malware.
L’operazione inizia con la creazione di un sito web fittizio, una sorta di versione distorta di UsenetClub, un servizio che fornisce accesso a immagini e video Usenet senza censura. Poiché Usenet è spesso associata alla pornografia infantile, il sito truccato attrae facilmente pedofili in cerca di materiale illegale.
Il sito offre tre livelli di abbonamento, due a pagamento e uno gratuito. L’opzione gratuita, però, prevede l’installazione del software gratuito CryptVPN. Una volta scaricato l’archivio CryptVPN.zip dal sito e aperto il file contenuto al suo interno, denominato CLICCA-QUI-PER-INSTALLARE, l’utente si ritrova a scaricare un file eseguibile PowerShell.exe. Questo file scarica a sua volta CryptVPN.exe, salvandolo in C:\Windows\Tasks.exe e successivamente eseguendolo.
Questo file eseguibile del malware, denominato PedoRansom dal suo autore, modifica lo sfondo del desktop dell’utente con un messaggio che chiede il riscatto e lascia un avviso simile nel file README.TXT. Il messaggio afferma che l’utente “è stato così stupido da essere stato hackerato” e chiede un riscatto di 500 dollari in Bitcoin da inviare all’indirizzo specificato. Se il pagamento non perviene entro dieci giorni, le informazioni dell’utente verranno divulgate.
Per quanto audace possa sembrare, quest’operazione ha finora raccolto solo 86 dollari. Ma l’importo esatto non sembra essere l’obiettivo principale degli autori di CryptVPN, che anziché mirare a un guadagno economico, sembrano piuttosto interessati a creare uno strumento di dissuasione efficace nei confronti dei pedofili.