Търсене
Close this search box.

Хакерите използват фалшиви снимки на OnlyFans, за да пуснат зловреден софтуер

Кампания за зловреден софтуер използва фалшиво съдържание на OnlyFans и примамки за възрастни, за да инсталира троянски кон за отдалечен достъп, известен като „DcRAT“, който позволява на извършителите да откраднат данни и пълномощни или да разположат софтуер за откуп на заразеното устройство.

OnlyFans е абонаментна услуга за съдържание, в която платените абонати имат достъп до лични снимки, видеоклипове и публикации от модели за възрастни, известни личности и личности от социалните медии.

Това е широко използван сайт и силно разпознаваемо име, така че може да действа като магнит за хора, които искат да получат безплатен достъп до платено съдържание.

Това не е първият случай, в който заплахи се възползват от OnlyFans, за да постигнат своите злонамерени цели, тъй като през януари 2023 г. нападателите злоупотребиха с отворено пренасочване на държавен сайт на Обединеното кралство, за да насочат посетителите към фалшиви сайтове на OnlyFans.

Новата кампания, открита от eSentire, е в ход от януари 2023 г., като разпространява ZIP файлове, които съдържат VBScript loader, който жертвата е подмамена да изпълни ръчно, мислейки, че ще получи достъп до премиум колекциите на OnlyFans.

Веригата на заразяване не е известна, но може да става въпрос за злонамерени публикации във форуми, незабавни съобщения, злонамерена реклама или дори Black SEO сайтове, които се класират високо по определени термини за търсене. Образец, споделен от Eclypsium, се преструва, че съдържа  голи снимки на бившата актриса от филми за възрастни Миа Халифа.

Зареждащият VBScript е минимално модифицирана и обфускулирана версия на скрипт, наблюдаван в кампания от 2021 г., открита от Splunk, който е бил леко модифициран скрипт за печат на Windows.

Когато бъде стартиран, той проверява архитектурата на операционната система с помощта на WMI и създава 32-битов процес, както е необходимо за следващите стъпки, извлича вграден DLL файл („dynwrapx.dll“) и регистрира DLL с командата Regsvr32.exe.

По този начин зловредният софтуер получава достъп до DynamicWrapperX – инструмент, който позволява извикването на функции от Windows API или други DLL файлове.

В крайна сметка полезният товар, наречен „BinaryData“, се зарежда в паметта и се инжектира в процеса „RegAsm.exe“, легитимна част от .NET Framework, за която е по-малко вероятно да бъде маркирана от AV инструментите.

Инжектираният полезен товар е DcRAT – модифицирана версия на AsyncRAT, която е свободно достъпна в GitHub и която авторът й изостави, след като няколко случая на злоупотреба се появиха онлайн.

Един от тези случаи е от октомври 2021 г., когато банда с политическа тематика го пуска в компрометирани системи заедно с няколко други семейства зловреден софтуер.

DcRAT извършва следене на клавишите, наблюдение на уебкамерата, манипулиране на файлове и отдалечен достъп, а също така може да краде пълномощия и бисквитки от уеб браузъри или да изтръгва Discord токени.

Освен това DcRAT разполага с приставка за откуп, която е насочена към всички несистемни файлове и добавя разширението „.DcRat“ към имената на криптираните файлове.

Важно е да се внимава, когато се изтеглят архиви или изпълними файлове от съмнителни източници, особено такива, които предлагат безплатен достъп до премиум/платено съдържание.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
28/05/2024

VMware е била използвана в ...

MITRE сподели информация за това как...
28/05/2024

Как работи Интерпол в облас...

Необходима е сложна координация между правоприлагащите...
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!