Hackerii folosesc poze false de pe OnlyFans pentru a răspândi malware
0O campanie malware folosește poze false OnlyFans și conținut pentru adulți pentru a instala un troian ce facilitează accesul la distanță cunoscut sub numele de ”DcRAT”, permițând hackerilor să sustragă date de conectare și informații sau să instaleze ransomware pe dispozitivul infectat, scrie Bleeping Computer.
Noua campanie descoperită de eSentire este în desfășurare din ianuarie 2023, răspândind fișiere ZIP care conțin un VBScript iar victima este păcălită să îl execute manual, crezând că este pe cale să acceseze colecțiile premium OnlyFans.
Lanțul de infectare este necunoscut, dar ar putea fi vorba de postări malițioase pe forumuri, mesaje directe, publicitate malițioasă sau chiar site-uri Black SEO care se află pe poziții de top ranking după anumiți termeni de căutare. O mostră partajată de către Eclypsium pretinde să conțină fotografii nud ale fostei actrițe de filme pentru adulți, Mia Khalifa.
Încărcătorul VBScript este o versiune minim modificată a unui script observat într-o campanie din 2021 descoperită de Splunk, care era un script de imprimare Windows puțin modificat.
La lansare, acesta verifică arhitectura sistemului de operare utilizând WMI și lansează un proces pe 32 de biți, așa cum este necesar pentru pașii următori, extrage un fișier DLL încorporat ("dynwrapx.dll") și înregistrează DLL-ul cu ajutorul comenzii Regsvr32.exe.
Acest lucru oferă malware-ului acces la DynamicWrapperX, o unealtă care permite apelarea funcțiilor din API-ul Windows sau din alte fișiere DLL.
În cele din urmă, încărcătura utilă, numită "BinaryData," este încărcată în memorie și injectată în procesul "RegAsm.exe," o componentă legitimă a framework-ului .NET, mai puțin probabil să fie detectată de către instrumentele de securitate antivirus.
DcRAT efectuează keylogging (înregistrarea apăsării tastelor), monitorizarea camerei web, manipularea fișierelor și accesul la distanță, putând, de asemenea, să fure credențiale și cookie-uri din browserele web sau să fure token-uri Discord.
În plus, DcRAT include un modul ransomware care vizează toate fișierele non-sistem și adaugă extensia de fișier ".DcRat" la fișierele criptate.
Ce spune Jake Moore, Global Cyber Security Advisor pentru ESET, despre această nouă formă de atac : ”Popularitatea uriașă a OnlyFans atrage, din păcate, și atenția infractorilor cibernetici, care doresc să exploateze încrederea utilizatorilor. Spre deosebire de cazul e-mailurilor de phishing care se concentrează pe informații specifice, cum ar fi datele de acces, atacatorii utilizează malware și, astfel, pot obține aproape orice informație a victimei.
Infractorii cibernetici exploatează adesea mărci cunoscute pentru activitățile lor malițioase, datorită recunoașterii și încrederii imediate și semnificative pe care o au acestea. Profitând de reputația și autoritatea asociate acestor mărci, infractorii cibernetici pot crește șansele ca victimele să cadă în plasa escrocheriilor lor sau să furnizeze de bunăvoie informații sensibile. În plus, mărcile populare au, de obicei, o bază mare de clienți, ceea ce le face ținte potențial profitabile.
Vizând OnlyFans, infractorii cibernetici pot ajunge la un număr semnificativ de persoane și pot crește impactul și rata de succes a atacurilor lor. Prin urmare, este vital ca utilizatorii să fie precauți în timp ce interacționează cu OnlyFans și cu orice platformă online care îi încurajează să descarce arhive sau fișiere executabile - mai ales când acest lucru este gratuit. De asemenea, este important ca aceștia să verifice autenticitatea oricăror canale de comunicare și să folosească parole puternice și unice.”