Hackerii vizează alți hackeri cu o unealtă falsă OnlyFans care pretinde că ajută la furtul de conturi, dar în schimb infectează actorii de amenințare cu malware-ul de furt de informații Lumma stealer.
Operațiunea, descoperită de Veriti Research, constituie un exemplu caracteristic al liniilor șterse dintre a fi un prădător sau o pradă în lumea criminalității cibernetice, unde întorsături ironice și înțepături sunt abundente.
OnlyFans este o platformă extrem de populară de conținut pentru adulți bazată pe abonament, unde creatorii pot câștiga bani de la utilizatori (numiți „fani”) care plătesc pentru acces la conținutul lor.
Creatorii pot partaja videoclipuri, imagini, mesaje și fluxuri live cu abonații lor, în timp ce abonații plătesc o taxă recurentă sau plăți o singură dată pentru conținut exclusiv.
Datorită popularității sale, conturile OnlyFans devin adesea ținte ale actorilor de amenințare care încearcă să le preia pentru a fura plățile fanilor, a șantaja proprietarul contului să plătească o răscumpărare sau pur și simplu pentru a divulga fotografii private.
Uneltele de verificare sunt concepute pentru a ajuta la validarea unor seturi mari de date de autentificare furate (nume de utilizator și parole), verificând dacă detaliile de autentificare se potrivesc cu orice conturi OnlyFans și dacă acestea sunt încă valabile.
Fără aceste unelte, infractorii cibernetici ar trebui să testeze manual mii de perechi de acreditări, un proces impractic și plictisitor care ar face ca schema să devină inviabilă.
Cu toate acestea, aceste unelte sunt adesea create de alți infractori cibernetici, determinând hackerii să creadă că sunt sigure de utilizat, iar în unele cazuri, acest lucru se întoarce împotriva lor.
Veriti a descoperit un caz de un verificator OnlyFans care promite să verifice acreditările, să verifice soldurile conturilor, să verifice metodele de plată și să determine privilegiile creatorilor, dar în schimb instalează malware-ul de furt de informații Lumma.
Încărcătura utilitarului, numit „brtjgjsefd.exe”, este preluată dintr-un depozit GitHub și încărcată în computerul victimei.
Lumma este un malware de furt de informații ca serviciu (MaaS) care a fost închiriat de infractorii cibernetici începând cu anul 2022 pentru 250-1000 $/lună și distribuit prin diverse mijloace, inclusiv malvertising, comentarii pe YouTube, torrente și, mai recent, comentarii pe GitHub.
Este un furt de informații avansat cu mecanisme inovatoare de evitare și capacitatea de a restaura tokenuri de sesiune Google expirate. Este în mare parte cunoscut pentru furtul de coduri de autentificare în doi factori, portofele de criptomonede și parole, cookie-uri și carduri de credit stocate în browserul și sistemul de fișiere al unei victime.
Lumma funcționează și ca încărcător în sine, capabil să introducă încărcături suplimentare în sistemul compromis și să execute scripturi PowerShell.
Veriti a descoperit că atunci când încărcătura Lumma Stealer este lansată, aceasta se va conecta la un cont GitHub sub numele de „UserBesty”, pe care infractorul cibernetic din spatele acestei campanii îl folosește pentru a găzdui alte încărcături maligne.
În mod specific, depozitul GitHub conține executabile care seamănă cu verificatoare pentru conturile de Disney+, Instagram și un presupus constructor de botnet Mirai:
Investigând mai în detaliu comunicările malware-ului, cercetătorii Veriti au găsit un set de domenii „.shop” care au acționat ca servere de comandă și control (C2), trimitând comenzi către Lumma și primind datele exfiltrate.
Această campanie nu este prima dată când actorii de amenințare au vizat alți infractori cibernetici în atacuri dăunătoare.
În martie 2022, hackerii au vizat alți hackeri cu furt de clipboard-uri mascate ca RAT-uri crăpate și unelte de construcție de malware pentru a fura criptomonede.
Mai târziu în acel an, un dezvoltator de malware a plasat backdoor-ul propriului său malware pentru a fura acreditive, portofele de criptomonede și date de cont VPN de la alți hackeri.
Administratorii serviciului de bypass MFA recunosc că sunt vinovați de fraudă
Rezolvatorul CAPTCHA Greasy Opal încă serveste criminalitatea cibernetică după 16 ani
Ransomware-ul aduce profituri record de 450 milioane de dolari în primul semestru al anului 2024
Marea Britanie aresta un presupus hacker Scattered Spider legat de atacul MGM
Banda de extorcare RansomHub legată de ransomware-ul Knight, acum închis
Leave a Reply