Търсене
Close this search box.

Кампания за зловреден софтуер използва фалшиво съдържание на OnlyFans и примамки за възрастни, за да инсталира троянски кон за отдалечен достъп, известен като „DcRAT“, който позволява на извършителите да откраднат данни и пълномощни или да разположат софтуер за откуп на заразеното устройство.

OnlyFans е абонаментна услуга за съдържание, в която платените абонати имат достъп до лични снимки, видеоклипове и публикации от модели за възрастни, известни личности и личности от социалните медии.

Това е широко използван сайт и силно разпознаваемо име, така че може да действа като магнит за хора, които искат да получат безплатен достъп до платено съдържание.

Това не е първият случай, в който заплахи се възползват от OnlyFans, за да постигнат своите злонамерени цели, тъй като през януари 2023 г. нападателите злоупотребиха с отворено пренасочване на държавен сайт на Обединеното кралство, за да насочат посетителите към фалшиви сайтове на OnlyFans.

Новата кампания, открита от eSentire, е в ход от януари 2023 г., като разпространява ZIP файлове, които съдържат VBScript loader, който жертвата е подмамена да изпълни ръчно, мислейки, че ще получи достъп до премиум колекциите на OnlyFans.

Веригата на заразяване не е известна, но може да става въпрос за злонамерени публикации във форуми, незабавни съобщения, злонамерена реклама или дори Black SEO сайтове, които се класират високо по определени термини за търсене. Образец, споделен от Eclypsium, се преструва, че съдържа  голи снимки на бившата актриса от филми за възрастни Миа Халифа.

Зареждащият VBScript е минимално модифицирана и обфускулирана версия на скрипт, наблюдаван в кампания от 2021 г., открита от Splunk, който е бил леко модифициран скрипт за печат на Windows.

Когато бъде стартиран, той проверява архитектурата на операционната система с помощта на WMI и създава 32-битов процес, както е необходимо за следващите стъпки, извлича вграден DLL файл („dynwrapx.dll“) и регистрира DLL с командата Regsvr32.exe.

По този начин зловредният софтуер получава достъп до DynamicWrapperX – инструмент, който позволява извикването на функции от Windows API или други DLL файлове.

В крайна сметка полезният товар, наречен „BinaryData“, се зарежда в паметта и се инжектира в процеса „RegAsm.exe“, легитимна част от .NET Framework, за която е по-малко вероятно да бъде маркирана от AV инструментите.

Инжектираният полезен товар е DcRAT – модифицирана версия на AsyncRAT, която е свободно достъпна в GitHub и която авторът й изостави, след като няколко случая на злоупотреба се появиха онлайн.

Един от тези случаи е от октомври 2021 г., когато банда с политическа тематика го пуска в компрометирани системи заедно с няколко други семейства зловреден софтуер.

DcRAT извършва следене на клавишите, наблюдение на уебкамерата, манипулиране на файлове и отдалечен достъп, а също така може да краде пълномощия и бисквитки от уеб браузъри или да изтръгва Discord токени.

Освен това DcRAT разполага с приставка за откуп, която е насочена към всички несистемни файлове и добавя разширението „.DcRat“ към имената на криптираните файлове.

Важно е да се внимава, когато се изтеглят архиви или изпълними файлове от съмнителни източници, особено такива, които предлагат безплатен достъп до премиум/платено съдържание.

Източник: По материали от Интернет

Подобни публикации

3 ноември 2024

Използван е бъг RCE в Microsoft SharePoint за п...

Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено ...
3 ноември 2024

Обходен път поправя замръзване при копиране на...

Microsoft разследва известен проблем, който засяга клиентите на Mic...
3 ноември 2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис (HACLA), един от най-г...
3 ноември 2024

Пазарът на труда в киберсигурността стагнира

Проучването на ISC2 за работната сила в областта на киберсигурностт...
2 ноември 2024

Новото разширение за Chrome ChatGPT Search прил...

Новото разширение за Chrome на OpenAI „ChatGPT search“ не прилича н...
2 ноември 2024

Потребителите на Azure Virtual Desktop с пробле...

Microsoft предупреди клиентите, че може да се появят до 30 минути ч...
1 ноември 2024

САЩ и Израел описват методите на иранските хакери

Тази седмица Съединените щати и Израел публикуваха консултативен до...
1 ноември 2024

Русия наложи космическа глоба на Google

Говорителят на Кремъл, Дмитрий Песков,  признава, че „дори не може ...
Бъдете социални
Още по темата
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
03/11/2024

Пазарът на труда в киберсиг...

Проучването на ISC2 за работната сила...
01/11/2024

Умножаване на крайните точк...

Неотдавна милиони автомобили Kia бяха засегнати...
Последно добавени
03/11/2024

Използван е бъг RCE в Micro...

Наскоро разкритата уязвимост на Microsoft SharePoint...
03/11/2024

Обходен път поправя замръз...

Microsoft разследва известен проблем, който засяга...
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!