Uma campanha de malware está usando conteúdo falso do OnlyFans e iscas adultas para instalar um trojan de acesso remoto conhecido como 'DcRAT', permitindo que os atores ameaçadores roubem dados e credenciais ou implantem ransomware no dispositivo infectado.
OnlyFans é um serviço de assinatura de conteúdo onde assinantes pagos podem acessar fotos, vídeos e postagens privadas de modelos adultos, celebridades e personalidades das redes sociais.
É um site amplamente utilizado e um nome altamente reconhecível, então pode agir como um ímã para pessoas que procuram acessar conteúdo pago gratuitamente.
Esta não é a primeira vez que atores ameaçadores aproveitaram o OnlyFans para alcançar seus objetivos maliciosos, pois em janeiro de 2023, atacantes abusaram de um redirecionamento aberto em um site estatal do Reino Unido para direcionar visitantes para sites falsos do OnlyFans.
A nova campanha descoberta pela eSentire está em andamento desde janeiro de 2023, espalhando arquivos ZIP que contêm um carregador VBScript que a vítima é enganada a executar manualmente, pensando que está prestes a acessar coleções OnlyFans premium.
A cadeia de infecção é desconhecida, mas pode ser postagens maliciosas em fóruns, mensagens instantâneas, malvertising ou até mesmo sites Black SEO que classificam alto em termos de pesquisa específicos.
Uma amostra compartilhada pela Eclypsium finge ser fotos nuas da ex-atriz pornô Mia Khalifa.
O carregador VBScript é uma versão minimamente modificada e ofuscada de um script observado em uma campanha de 2021 descoberta pela Splunk, que era um script de impressão do Windows ligeiramente modificado.
Quando lançado, verifica a arquitetura do sistema operacional usando o WMI e gera um processo de 32 bits conforme necessário para as etapas seguintes, extrai um arquivo DLL incorporado ("dynwrapx.dll") e registra o DLL com o comando Regsvr32.exe.
Isso dá ao malware acesso ao DynamicWrapperX, uma ferramenta que permite chamar funções da API do Windows ou de outros arquivos DLL.
Por fim, o payload, denominado 'BinaryData', é carregado na memória e injetado no processo 'RegAsm.exe', uma parte legítima do .NET Framework com menos probabilidade de ser detectado por ferramentas AV.
O payload injetado é DcRAT, uma versão modificada do AsyncRAT que está livremente disponível no GitHub e que seu autor abandonou depois que vários casos de abuso surgiram online.
Um desses casos vem de outubro de 2021, quando um ator ameaçador politicamente temático o deixou em sistemas comprometidos junto com várias outras famílias de malware.
DcRAT realiza keylogging, monitoramento de webcam, manipulação de arquivos e acesso remoto e também pode roubar credenciais e cookies de navegadores da web ou pegar tokens do Discord.
Além disso, o DcRAT apresenta um plugin de ransomware que visa todos os arquivos não do sistema e adiciona a extensão de arquivo ".DcRat" aos arquivos criptografados.
É importante ter cautela ao baixar arquivos ou executáveis de fontes duvidosas, especialmente aqueles que oferecem acesso gratuito a conteúdo premium/pago.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...