Hackerii vizează alți hackeri cu un instrument fals OnlyFans care pretinde că ajută la furtul de conturi, dar în schimb infectează actorii de amenințare cu malware-ul de furt de informații Lumma stealer.
Operațiunea, descoperită de Veriti Research, constituie un exemplu caracteristic al liniilor șterse între a fi un prădător sau o pradă în lumea infracțiunilor informatice, unde întorsături ironice și înțepături sunt abundente.
OnlyFans este o platformă extrem de populară de conținut pentru adulți bazată pe abonament, unde creatorii pot câștiga bani de la utilizatori (denumiți „fani”) care plătesc pentru acces la conținutul lor.
Creatorii pot partaja videoclipuri, imagini, mesaje și fluxuri live cu abonații lor, în timp ce abonații plătesc o taxă recurentă sau plăți o singură dată pentru conținut exclusiv.
Datorită popularității sale, conturile OnlyFans devin adesea ținte ale actorilor de amenințare care încearcă să le fure plățile fanilor, să șantajeze proprietarul contului pentru a plăti o răscumpărare sau pur și simplu să facă publice fotografii private.
Instrumentele de verificare sunt concepute pentru a ajuta la validarea unor seturi mari de date de autentificare furate (nume de utilizator și parole), verificând dacă detaliile de conectare se potrivesc cu conturile OnlyFans și dacă acestea sunt încă valide.
Fără aceste instrumente, infractorii informatici ar trebui să testeze manual mii de perechi de acreditări, un proces impractic și anevoios care ar face schema neviabilă.
Veriti a descoperit un caz în care un verificator OnlyFans promitea să verifice acreditările, să verifice soldurile contului, să verifice metodele de plată și să determine privilegiile creatorului, dar în schimb instala malware-ul de furt de informații Lumma.
Încărcătura, numită „brtjgjsefd.exe,” este descărcată dintr-un depozit GitHub și încărcată în computerul victimei.
Lumma este un malware de furt de informații ca serviciu (MaaS) care a fost închiriat infractorilor informatici începând cu anul 2022 pentru 250-1000 de dolari/lună și distribuit prin diverse mijloace, inclusiv reclame rău intenționate, comentarii pe YouTube, torente și, mai recent, comentarii pe GitHub.
Este un furt de informații avansat cu mecanisme inovatoare de evitare și capacitatea de a restaura token-uri de sesiune Google expirate. Este în mare parte cunoscut pentru furtul de coduri de autentificare în doi pași, portofele de criptomonede și parole, cookie-uri și carduri de credit stocate în browserul și sistemul de fișiere al unei victime.
Lumma funcționează și ca un încărcător în sine, capabil să introducă încărcături suplimentare în sistemul compromis și să execute scripturi PowerShell.
Veriti a constatat că atunci când încărcătura Lumma Stealer este lansată, va realiza o conexiune la un cont GitHub sub numele de „UserBesty”, pe care infractorul informatic din spatele acestei campanii îl folosește pentru a găzdui alte încărcături malitioase.
În mod specific, depozitul GitHub conține executabile care seamănă cu verificatoarele pentru conturile Disney+, Instagram și un presupus constructor al botnetului Mirai:
Săpând mai adânc în comunicările malware-ului, cercetătorii Veriti au găsit un set de domenii „.shop” care acționau ca servere de comandă și control (C2), trimițând comenzi către Lumma și primind datele exfiltrate.
Această campanie nu este prima dată când actorii de amenințare au vizat alți infractori informatici în atacuri malitioase.
În martie 2022, hackerii au vizat hackeri cu furt de clipboarduri mascate ca RAT-uri crăpate și instrumente de construire a malware-urilor pentru a fura criptomonede.
Mai târziu în acel an, un dezvoltator de malware a plasat backdoor-ul propriului malware pentru a fura acreditări, portofele de criptomonede și date de cont VPN de la alți hackeri.
Adminii serviciului de bypass MFA au recunoscut că sunt vinovați de fraudă
Rezolvatorul CAPTCHA al Greasy Opal continuă să servească infracțiunile informatice după 16 ani
Ransomware-ul adună sume record de 450 de milioane de dolari în prima jumătate a anului 2024
Marea Britanie arestează un presupus hacker Scattered Spider legat de atacul asupra MGM
Banda de extorcare RansomHub legată de ransomware-ul Knight, acum desființat
Leave a Reply