Кампания за зловреден софтуер използва фалшиво съдържание на OnlyFans и примамки за възрастни, за да инсталира троянски кон за отдалечен достъп, известен като „DcRAT“, който позволява на извършителите да откраднат данни и пълномощни или да разположат софтуер за откуп на заразеното устройство.
OnlyFans е абонаментна услуга за съдържание, в която платените абонати имат достъп до лични снимки, видеоклипове и публикации от модели за възрастни, известни личности и личности от социалните медии.
Това е широко използван сайт и силно разпознаваемо име, така че може да действа като магнит за хора, които искат да получат безплатен достъп до платено съдържание.
Това не е първият случай, в който заплахи се възползват от OnlyFans, за да постигнат своите злонамерени цели, тъй като през януари 2023 г. нападателите злоупотребиха с отворено пренасочване на държавен сайт на Обединеното кралство, за да насочат посетителите към фалшиви сайтове на OnlyFans.
Новата кампания, открита от eSentire, е в ход от януари 2023 г., като разпространява ZIP файлове, които съдържат VBScript loader, който жертвата е подмамена да изпълни ръчно, мислейки, че ще получи достъп до премиум колекциите на OnlyFans.
Веригата на заразяване не е известна, но може да става въпрос за злонамерени публикации във форуми, незабавни съобщения, злонамерена реклама или дори Black SEO сайтове, които се класират високо по определени термини за търсене. Образец, споделен от Eclypsium, се преструва, че съдържа голи снимки на бившата актриса от филми за възрастни Миа Халифа.
Зареждащият VBScript е минимално модифицирана и обфускулирана версия на скрипт, наблюдаван в кампания от 2021 г., открита от Splunk, който е бил леко модифициран скрипт за печат на Windows.
Когато бъде стартиран, той проверява архитектурата на операционната система с помощта на WMI и създава 32-битов процес, както е необходимо за следващите стъпки, извлича вграден DLL файл („dynwrapx.dll“) и регистрира DLL с командата Regsvr32.exe.
По този начин зловредният софтуер получава достъп до DynamicWrapperX – инструмент, който позволява извикването на функции от Windows API или други DLL файлове.
В крайна сметка полезният товар, наречен „BinaryData“, се зарежда в паметта и се инжектира в процеса „RegAsm.exe“, легитимна част от .NET Framework, за която е по-малко вероятно да бъде маркирана от AV инструментите.
Инжектираният полезен товар е DcRAT – модифицирана версия на AsyncRAT, която е свободно достъпна в GitHub и която авторът й изостави, след като няколко случая на злоупотреба се появиха онлайн.
Един от тези случаи е от октомври 2021 г., когато банда с политическа тематика го пуска в компрометирани системи заедно с няколко други семейства зловреден софтуер.
DcRAT извършва следене на клавишите, наблюдение на уебкамерата, манипулиране на файлове и отдалечен достъп, а също така може да краде пълномощия и бисквитки от уеб браузъри или да изтръгва Discord токени.
Освен това DcRAT разполага с приставка за откуп, която е насочена към всички несистемни файлове и добавя разширението „.DcRat“ към имената на криптираните файлове.
Важно е да се внимава, когато се изтеглят архиви или изпълними файлове от съмнителни източници, особено такива, които предлагат безплатен достъп до премиум/платено съдържание.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.