Кампания за зловреден софтуер използва фалшиво съдържание на OnlyFans и примамки за възрастни, за да инсталира троянски кон за отдалечен достъп, известен като „DcRAT“, който позволява на извършителите да откраднат данни и пълномощни или да разположат софтуер за откуп на заразеното устройство.
OnlyFans е абонаментна услуга за съдържание, в която платените абонати имат достъп до лични снимки, видеоклипове и публикации от модели за възрастни, известни личности и личности от социалните медии.
Това е широко използван сайт и силно разпознаваемо име, така че може да действа като магнит за хора, които искат да получат безплатен достъп до платено съдържание.
Това не е първият случай, в който заплахи се възползват от OnlyFans, за да постигнат своите злонамерени цели, тъй като през януари 2023 г. нападателите злоупотребиха с отворено пренасочване на държавен сайт на Обединеното кралство, за да насочат посетителите към фалшиви сайтове на OnlyFans.
Новата кампания, открита от eSentire, е в ход от януари 2023 г., като разпространява ZIP файлове, които съдържат VBScript loader, който жертвата е подмамена да изпълни ръчно, мислейки, че ще получи достъп до премиум колекциите на OnlyFans.
Веригата на заразяване не е известна, но може да става въпрос за злонамерени публикации във форуми, незабавни съобщения, злонамерена реклама или дори Black SEO сайтове, които се класират високо по определени термини за търсене. Образец, споделен от Eclypsium, се преструва, че съдържа голи снимки на бившата актриса от филми за възрастни Миа Халифа.
Зареждащият VBScript е минимално модифицирана и обфускулирана версия на скрипт, наблюдаван в кампания от 2021 г., открита от Splunk, който е бил леко модифициран скрипт за печат на Windows.
Когато бъде стартиран, той проверява архитектурата на операционната система с помощта на WMI и създава 32-битов процес, както е необходимо за следващите стъпки, извлича вграден DLL файл („dynwrapx.dll“) и регистрира DLL с командата Regsvr32.exe.
По този начин зловредният софтуер получава достъп до DynamicWrapperX – инструмент, който позволява извикването на функции от Windows API или други DLL файлове.
В крайна сметка полезният товар, наречен „BinaryData“, се зарежда в паметта и се инжектира в процеса „RegAsm.exe“, легитимна част от .NET Framework, за която е по-малко вероятно да бъде маркирана от AV инструментите.
Инжектираният полезен товар е DcRAT – модифицирана версия на AsyncRAT, която е свободно достъпна в GitHub и която авторът й изостави, след като няколко случая на злоупотреба се появиха онлайн.
Един от тези случаи е от октомври 2021 г., когато банда с политическа тематика го пуска в компрометирани системи заедно с няколко други семейства зловреден софтуер.
DcRAT извършва следене на клавишите, наблюдение на уебкамерата, манипулиране на файлове и отдалечен достъп, а също така може да краде пълномощия и бисквитки от уеб браузъри или да изтръгва Discord токени.
Освен това DcRAT разполага с приставка за откуп, която е насочена към всички несистемни файлове и добавя разширението „.DcRat“ към имената на криптираните файлове.
Важно е да се внимава, когато се изтеглят архиви или изпълними файлове от съмнителни източници, особено такива, които предлагат безплатен достъп до премиум/платено съдържание.