Ciberdelincuentes están distribuyendo 'malware' a través de archivos ZIP utilizando como señuelo contenido explícito (como fotografías y vídeos) y de carácter gratuito de la página web para adultos OnlyFans.
OnlyFans es una red social en la que se puede compartir todo tipo de contenidos bajo suscripción y que permite monetizar tanto contenido multimedia como audios con textos. El precio de suscripción en España es de cinco a unos 50 euros mensuales.
Investigadores de eSentire han advertido de una campaña de 'malware' que instala un troyano de acceso remoto conocido como DcRAT, que permite a los actores de amenazas robar información y credenciales, así como implementar 'ransomware' en el dispositivo infectado.
Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, fue en mayo de 2023 cuando se identificó este 'software' malicioso, que resulta ser un clon de AsyncRAT, una herramienta de acceso remoto (RAT) diseñada para monitorizar y controlar los equipos de las víctimas.
DcRAT, por tanto, se presenta como una herramienta de acceso repoto con capacidades de robo de información y 'ransomware' que se distribuye activamente utilizando como señuelo el acceso gratuito a contenido prémium de OnlyFans.
En concreto, insta a las víctimas a descargar achivos ZIP que presuntamente contienen vídeos sexuales de carácter gratuito pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.
Este cargador, en realidad, es una versión modificada de un 'script' de impresión de Windows detectado en otra campaña maliciosa de 2021 y, además de capacidades básicas de 'ransomware' -registro de teclas, acceso remoto al sistema manipulación de archivos y control de la cámara web- también puede robar 'cookies' de navegación y tokens de Discord.
Concretamente, desde eSentire puntualizan que, una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI), extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado. Concretamente, con Regsvr32.exe.
Esto le da acceso al 'malware a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil -BinaryData- se carga en la memoria.