Una campaña de malware está utilizando contenido falso de OnlyFans y señuelos para adultos para instalar un troyano de acceso remoto conocido como 'DcRAT', lo que permite a los actores de amenazas robar datos y credenciales o implementar ransomware en el dispositivo infectado.
OnlyFans es un servicio de suscripción de contenido donde los suscriptores pagos pueden acceder a fotos, videos y publicaciones privadas de modelos adultos, celebridades y personalidades de las redes sociales.
Es un sitio ampliamente utilizado y un nombre muy reconocible, por lo que puede actuar como un imán para las personas que buscan acceder a contenido pago de forma gratuita.
Esta no es la primera vez que los actores de amenazas se aprovechan de OnlyFans para lograr sus objetivos maliciosos, ya que en enero de 2023, los atacantes abusaron de una redirección abierta en un sitio estatal del Reino Unido para dirigir a los visitantes a sitios falsos de OnlyFans .
La nueva campaña descubierta por eSentire ha estado en marcha desde enero de 2023, difundiendo archivos ZIP que contienen un cargador VBScript que se engaña a la víctima para que lo ejecute manualmente, pensando que está a punto de acceder a las colecciones premium de OnlyFans.
Se desconoce la cadena de infección, pero pueden ser publicaciones maliciosas en foros, mensajes instantáneos, publicidad maliciosa o incluso sitios de SEO oscuros que ocupan un lugar destacado en términos de búsqueda específicos. Una muestra compartida por Eclypsium pretende ser fotos de desnudos de la ex actriz de cine para adultos Mia Khalifa.
El cargador de VBScript es una versión mínimamente modificada y ofuscada de un script observado en una campaña de 2021 descubierto por Splunk , que era un script de impresión de Windows ligeramente modificado.
Shellcode ofuscado (eSentire)
Cuando se inicia, comprueba la arquitectura del sistema operativo mediante WMI y genera un proceso de 32 bits según sea necesario para los siguientes pasos, extrae un archivo DLL incrustado ("dynwrapx.dll") y registra el DLL con el comando Regsvr32.exe.
Esto le da acceso al malware a DynamicWrapperX, una herramienta que permite llamar a funciones desde la API de Windows u otros archivos DLL.
En última instancia, la carga útil, denominada 'BinaryData', se carga en la memoria y se inyecta en el proceso 'RegAsm.exe', una parte legítima de .NET Framework que es menos probable que las herramientas AV marquen.
Inyectar la carga útil en un proceso legítimo (eSentire)
La carga útil inyectada es DcRAT, una versión modificada de AsyncRAT que está disponible gratuitamente en GitHub y que su autor abandonó después de que surgieron varios casos de abuso en línea.
Uno de estos casos proviene de octubre de 2021, cuando un actor de amenazas de temática política lo dejó caer en sistemas comprometidos junto con varias otras familias de malware.
DcRAT realiza el registro de teclas, el monitoreo de la cámara web, la manipulación de archivos y el acceso remoto, también puede robar credenciales y cookies de los navegadores web o robar tokens de Discord.
Además, DcRAT presenta un complemento de ransomware que se dirige a todos los archivos que no son del sistema y agrega la extensión de nombre de archivo ".DcRat" a los archivos cifrados.
Es importante tener cuidado al descargar archivos o ejecutables de fuentes dudosas, especialmente aquellas que ofrecen acceso gratuito a contenido premium/pago.
