Μια νέα κακόβουλη καμπάνια χρησιμοποιεί ψεύτικο περιεχόμενο OnlyFans και δέλεαρ για ενήλικες για να εγκαταστήσει ένα trojan απομακρυσμένης πρόσβασης γνωστό ως “DcRAT” στις συσκευές των θυμάτων. Το DcRAT trojan θα δώσει τη δυνατότητα στους επιτιθέμενους να κλέψουν δεδομένα και credentials ή να εκτελέσουν ransomware στη μολυσμένη συσκευή.
Το OnlyFans είναι μια δημοφιλής συνδρομητική υπηρεσία περιεχομένου, όπου οι συνδρομητές πληρώνουν για να έχουν πρόσβαση σε φωτογραφίες, βίντεο και αναρτήσεις από ενήλικα μοντέλα, διασημότητες και προσωπικότητες των μέσων κοινωνικής δικτύωσης.
Η δημοτικότητά του έχει αυξηθεί το τελευταίο διάστημα, γι’ αυτό οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται για να δελεάσουν τους χρήστες. Τα θύματα πιστεύουν ότι θα αποκτήσουν δωρεάν πρόσβαση σε περιεχόμενο του OnlyFans για το οποίο κανονικά πρέπει να πληρώσεις.
Δείτε επίσης: ASUS: Κρίσιμες ευπάθειες σε routers – Ενημερώστε τα άμεσα!
Δεν είναι η πρώτη φορά που φορείς απειλών εκμεταλλεύονται το OnlyFans. Τον Ιανουάριο του 2023, κυβερνοεγκληματίες κατάφεραν να κατευθύνουν χρήστες σε ψεύτικους ιστότοπους OnlyFans.
Η νέα καμπάνια ανακαλύφθηκε από την eSentire και είναι ενεργή, επίσης, από τον Ιανουάριο του 2023. Οι κακόβουλοι φορείς αποστέλλουν αρχεία ZIP που περιέχουν ένα VBScript loader. Το πρόγραμμα εξαπατά τα θύματα να το εκτελέσουν, καθώς τους κάνει να πιστέψουν ότι θα αποκτήσουν πρόσβαση σε premium συλλογές OnlyFans.
Δεν γνωρίζουμε πολλές λεπτομέρειες για την αλυσίδα μόλυνσης, αλλά μπορεί να ξεκινά με κακόβουλες αναρτήσεις σε φόρουμ, άμεσα μηνύματα, κακόβουλες διαφημίσεις ή ακόμη και Black SEO sites που κατατάσσονται ψηλά με συγκεκριμένους όρους αναζήτησης. Ένα δείγμα που μοιράστηκε η Eclypsium προσποιείται ότι είναι γυμνές φωτογραφίες της πρώην ηθοποιού ταινιών ενηλίκων Mia Khalifa.
Το VBScript loader είναι μια ελάχιστα τροποποιημένη και συγκεχυμένη έκδοση ενός script που παρατηρήθηκε σε μια καμπάνια του 2021. Επρόκειτο για ένα ελαφρώς τροποποιημένο Windows printing script.
Κατά την εκκίνηση, ελέγχει την αρχιτεκτονική του λειτουργικού συστήματος χρησιμοποιώντας WMI και δημιουργεί ένα 32-bit process, εξάγει ένα ενσωματωμένο αρχείο DLL (“dynwrapx.dll”) και καταχωρεί το DLL με την εντολή Regsvr32.exe.
Δείτε επίσης: Παραβιασμένα S3 buckets χρησιμοποιούνται σε επιθέσεις σε npm packages
Αυτό δίνει στο κακόβουλο λογισμικό πρόσβαση στο DynamicWrapperX, ένα εργαλείο που επιτρέπει calling functions από το Windows API ή άλλα αρχεία DLL.
Τελικά, το payload, που ονομάζεται “BinaryData“, φορτώνεται στη μνήμη και “εγχέεται” στο ‘RegAsm.exe‘ process, ένα νόμιμο μέρος του .NET Framework που είναι λιγότερο πιθανό να επισημανθεί από εργαλεία AV.
Το εισαγόμενο payload είναι το DcRAT trojan που αναφέραμε παραπάνω. Πρόκειται για μια τροποποιημένη έκδοση του AsyncRAT που είναι δωρεάν διαθέσιμη στο GitHub.
Το DcRAT εκτελεί keylogging, παρακολούθηση κάμερας web, χειρισμό αρχείων και απομακρυσμένη πρόσβαση. Επιπλέον, μπορεί να κλέψει credentials και cookies από προγράμματα περιήγησης ιστού ή να αρπάξει Discord tokens.
Τέλος, το DcRAT διαθέτει και μια λειτουργία ransomware που στοχεύει όλα τα αρχεία εκτός συστήματος και προσαρτά την επέκταση “.DcRat” σε κρυπτογραφημένα αρχεία.
Η παραπάνω malware καμπάνια που εκμεταλλεύεται το Onlyfans, δείχνει ότι είναι σημαντικό να είστε προσεκτικοί κατά τη λήψη αρχείων ή εκτελέσιμων αρχείων από αμφίβολες πηγές, ειδικά εκείνες που προσφέρουν δωρεάν πρόσβαση σε περιεχόμενο υψηλής ποιότητας/επί πληρωμή.
Δείτε επίσης: Realme: Κλέβει δεδομένα χρηστών; Η Ινδία ξεκινά έρευνα
Τα malware αποτελούν σοβαρή απειλή για την ασφάλεια της συσκευής σας, αλλά ακολουθώντας μερικά απλά βήματα, μπορείτε να προστατευθείτε από μόλυνση. Η εγκατάσταση antivirus λογισμικού, η ενημέρωση του λειτουργικού συστήματος και του λογισμικού σας, η χρήση τείχους προστασίας, η προσοχή στο διαδίκτυο και η δημιουργία αντιγράφων ασφαλείας των δεδομένων σας είναι όλοι αποτελεσματικοί τρόποι για να προστατεύσετε τον υπολογιστή σας από κακόβουλο λογισμικό.
Πηγή: www.bleepingcomputer.com