Le code source du ransomware ChastityLock qui ciblait les utilisateurs masculins d’un jouet adulte spécifique est désormais accessible au public à des fins de recherche.

Les utilisateurs du dispositif de chasteté Qiui Cellmate contrôlé par Bluetooth ont été la cible d’une attaque avec ce malware l’année dernière après que des chercheurs en sécurité ont découvert une vulnérabilité dans le jouet qui permettait de le verrouiller à distance.

Tous les utilisateurs peuvent être verrouillés

Qiui Cellmante est un sextoy connecté avec une application compagnon pour contrôler son verrouillage / déverrouillage via Bluetooth qui est généralement géré par quelqu’un d’autre que la personne qui porte l’appareil.

En octobre 2020, des chercheurs de Pen Test Partners ont publié des détails sur une vulnérabilité grave qui permettait à un attaquant distant de prendre le contrôle de n’importe quel appareil Qiui Cellmate.

Ils ont constaté que faire une demande à n’importe quel point de terminaison d’API ne nécessitait pas d’authentification et que l’utilisation d’un «code ami» à six chiffres renverrait «une énorme quantité d’informations sur cet utilisateur», telles que l’emplacement, le numéro de téléphone, le mot de passe en texte brut.

« Il ne faudrait pas plus de deux jours à un attaquant pour exfiltrer toute la base de données des utilisateurs et l’utiliser à des fins de chantage ou d’hameçonnage », a écrit Pen Test Partners dans son rapport.

Suite à la divulgation, un attaquant a commencé à cibler les utilisateurs de l’application mobile Qiui Cellmate qui contrôlaient le jouet intelligent et verrouillaient le dispositif de chasteté. Les victimes ont été invitées à payer 0,02 bitcoins, soit environ 270 dollars au moment des attaques.

Le chercheur VXUnderground a déclaré à BleepingComputer qu’ils avaient publié le code source du ransomware ChastityLock après l’avoir reçu de quelqu’un qui l’avait obtenu de l’attaquant.

Le logiciel malveillant comprend un code qui communique aux points de terminaison de l’API de Qiui pour énumérer les informations de l’utilisateur, envoyer des messages à l’application victime et ajouter des amis, selon l’analyse du chercheur en sécurité Ax Sharma.

Victimes moqueuses

Peu de temps après le début des attaques, un flot de plaintes est venu d’utilisateurs victimes qui ont déclaré qu’ils pouvaient …