Em mais uma campanha, fotos falsas do OnlyFans trazem malware que rouba informações, na verdade, um trojan de acesso remoto.
O OnlyFans é um serviço de assinatura de conteúdo onde os assinantes pagos podem acessar fotos, vídeos e postagens privadas de modelos adultos, celebridades e personalidades de mídia social.
É um site amplamente utilizado e um nome altamente reconhecível, por isso pode atuar como um ímã para pessoas que desejam acessar conteúdo pago gratuitamente.
Agora, uma campanha de malware está usando conteúdo falso do OnlyFans e iscas para adultos para instalar um trojan de acesso remoto conhecido como ‘DcRAT’, permitindo que os agentes de ameaças roubem dados e credenciais ou implantem ransomware no dispositivo infectado.
Fotos falsas do OnlyFans trazem malware que rouba informações
Esta não é a primeira vez que os agentes de ameaças se aproveitam do OnlyFans para atingir seus objetivos maliciosos, já que em janeiro de 2023, os invasores abusaram de um redirecionamento aberto em um site do estado do Reino Unido para direcionar os visitantes para sites falsos do OnlyFans.
A nova campanha descoberta pelo eSentire está em andamento desde janeiro de 2023, espalhando arquivos ZIP que contêm um carregador VBScript que a vítima é induzida a executar manualmente, pensando que está prestes a acessar coleções Premium OnlyFans.
A cadeia de infecção é desconhecida, mas pode ser postagens maliciosas em fóruns, mensagens instantâneas, publicidade maliciosa ou até mesmo sites Black SEO com classificação alta em termos de pesquisa específicos.
Uma amostra compartilhada por Eclypsium finge ser fotos nuas da ex-atriz de filmes adultos Mia Khalifa.
O carregador VBScript é uma versão minimamente modificada e ofuscada de um script observado em uma campanha de 2021 descoberta por Splunk, que era um script de impressão do Windows ligeiramente modificado.
Quando iniciado, ele verifica a arquitetura do sistema operacional usando WMI e gera um processo de 32 bits conforme necessário para as etapas a seguir, extrai um arquivo DLL incorporado (“dynwrapx.dll”) e registra o DLL com o comando Regsvr32.exe.
Isso dá ao malware acesso ao DynamicWrapperX, uma ferramenta que permite chamar funções da API do Windows ou outros arquivos DLL.
Em última análise, a carga, denominada ‘BinaryData’, é carregada na memória e injetada no processo ‘RegAsm.exe’, uma parte legítima do .NET Framework com menos probabilidade de ser sinalizada por ferramentas AV.
A carga útil injetada é DcRAT, uma versão modificada do AsyncRAT que está disponível gratuitamente no GitHub e que seu autor abandonou depois que vários casos de abuso surgiram online.
Um desses casos ocorreu em outubro de 2021, quando um agente de ameaça com tema político o lançou em sistemas comprometidos junto com várias outras famílias de malware.
O DcRAT executa keylogging, monitoramento de webcam, manipulação de arquivos e acesso remoto, e também pode roubar credenciais e cookies de navegadores da web ou roubar tokens do Discord.
Além disso, o DcRAT apresenta um plug-in de ransomware que visa todos os arquivos que não são do sistema e acrescenta a extensão de nome de arquivo “.DcRat” aos arquivos criptografados.
É importante ter cuidado ao baixar arquivos ou executáveis de fontes duvidosas, especialmente aquelas que oferecem acesso gratuito a conteúdo premium/pago.