Hackers estão mirando outros hackers com uma ferramenta falsa do OnlyFans, que promete ajudar a roubar contas, mas, em vez disso, infecta os atores de ameaça com o malware Lumma, especializado em furto de informações.
A operação, descoberta pela Veriti Research, constitui um exemplo característico das fronteiras turvas entre ser predador ou presa no mundo do cibercrime, onde reviravoltas irônicas e traições são abundantes.
OnlyFans é uma plataforma de conteúdo adulto baseada em assinatura extremamente popular, onde criadores podem ganhar dinheiro de usuários (referidos como "fãs") que pagam pelo acesso ao seu conteúdo.
Os criadores podem compartilhar vídeos, imagens, mensagens e transmissões ao vivo com seus assinantes, enquanto os assinantes pagam uma taxa recorrente ou pagamentos únicos por conteúdo exclusivo.
Dada sua popularidade, contas do OnlyFans frequentemente se tornam alvos de atores de ameaça que tentam sequestrá-las para roubar pagamentos de fãs, extorquir o proprietário da conta para pagar um resgate ou simplesmente vazar fotos privadas.
Ferramentas de verificação são projetadas para ajudar a validar grandes conjuntos de credenciais de login roubadas (usuários e senhas), verificando se os detalhes de login correspondem a alguma conta do OnlyFans e se ainda são válidos.
Sem essas ferramentas, os cibercriminosos teriam de testar manualmente milhares de pares de credenciais, um processo impraticável e tedioso que tornaria o esquema inviável.
No entanto, essas ferramentas são comumente criadas por outros cibercriminosos, fazendo com que os hackers confiem que são seguras de usar, e, em alguns casos, isso se volta contra eles.
A Veriti descobriu um caso de um verificador do OnlyFans prometendo validar credenciais, verificar saldos de contas, verificar métodos de pagamento e determinar privilégios de criadores, mas, em vez disso, instalou o malware Lumma, de roubo de informações.
O payload, nomeado "brtjgjsefd.exe", é obtido de um repositório do GitHub e carregado no computador da vítima.
Lumma é um malware como serviço (MaaS) de roubo de informações alugado para cibercriminosos desde 2022 por US$ 250 a US$ 1000 por mês e distribuído por vários meios, incluindo malvertising, comentários no YouTube, torrents e, mais recentemente, comentários no GitHub.
Trata-se de um ladrão de informações avançado, com mecanismos inovadores de evasão e a capacidade de restaurar tokens de sessão Google expirados.
É mais conhecido por roubar códigos de autenticação de dois fatores, carteiras de criptomoedas e senhas, cookies e dados de cartões de crédito armazenados no navegador e no sistema de arquivos da vítima.
Lumma também funciona como um loader, capaz de introduzir payloads adicionais no sistema comprometido e executar scripts de PowerShell.
A Veriti descobriu que, quando o payload do Lumma Stealer é lançado, ele se conectará a uma conta do GitHub sob o nome "UserBesty", que o cibercriminoso por trás dessa campanha usa para hospedar outros payloads maliciosos.
Especificamente, o repositório do GitHub contém executáveis que se assemelham a verificadores de contas do Disney+, Instagram e a um suposto construtor de botnet Mirai:
Ladrões de contas do Disney+ são visados com "DisneyChecker.exe"
Hackers do Instagram são atraídos por "InstaCheck.exe"
Criadores de botnet iniciantes são atraídos com "ccMirai.exe"
Aprofundando-se nas comunicações do malware, os pesquisadores da Veriti descobriram um conjunto de domínios ".shop" que atuavam como servidores de comando e controle (C2), enviando comandos para Lumma e recebendo os dados exfiltrados.
Esta campanha não é a primeira vez que atores de ameaça visam outros cibercriminosos em ataques maliciosos.
Em março de 2022, hackers visaram hackers com stealers de área de transferência disfarçados de RATs e ferramentas de criação de malware crackeadas para roubar criptomoedas.
Mais tarde naquele ano, um desenvolvedor de malware inseriu uma backdoor em seu próprio malware para roubar credenciais, carteiras de criptomoedas e dados de contas VPN de outros hackers.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...