Cuidado con ‘contenido gratuito’ de OnlyFans, hackers distribuyen virus
Los hackers instan a las víctimas a descargar archivos que presuntamente contienen vídeos sexuales de carácter gratuito
Ciberdelincuentes están distribuyendo ‘malware’ a través de archivos ZIP, utilizando como señuelo contenido explícito (como fotografías y vídeos) y de carácter gratuito de la página web para adultos OnlyFans.
OnlyFans es una red social en la que se puede compartir todo tipo de contenidos bajo suscripción y que permite monetizar tanto contenido multimedia como audios con textos.
TE PUEDE INTERESAR: El error de Gmail que ha provocado estafas con correos falsos que se hacen pasar por empresas
Investigadores de eSentire han advertido de una campaña de ‘malware’ que instala un troyano de acceso remoto conocido como DcRAT, que permite a los actores de amenazas robar información y credenciales, así como implementar ‘ransomware’ en el dispositivo infectado.
Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, fue en mayo de 2023 cuando se identificó este ‘software’ malicioso, que resulta ser un clon de AsyncRAT, una herramienta de acceso remoto (RAT) diseñada para monitorizar y controlar los equipos de las víctimas.
DcRAT, por tanto, se presenta como una herramienta de acceso remoto con capacidades de robo de información y ‘ransomware’ que se distribuye activamente utilizando como señuelo el acceso gratuito a contenido prémium de OnlyFans.
En concreto, insta a las víctimas a descargar achivos ZIP que presuntamente contienen vídeos sexuales de carácter gratuito, pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.
TE PUEDE INTERESAR: ¿Cómo se abre un OnlyFans? Hay requisitos y restricciones para tener cuenta como creador de contenidos
Este cargador, en realidad, es una versión modificada de un ‘script’ de impresión de Windows detectado en otra campaña maliciosa de 2021 y, además de capacidades básicas de ‘ransomware’ -registro de teclas, acceso remoto al sistema, manipulación de archivos y control de la cámara web- también puede robar ‘cookies’ de navegación y tokens de Discord.
Concretamente, desde eSentire puntualizan que, una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI), extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado. Concretamente, con Regsvr32.exe.
Esto le da acceso al ‘malware’ a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil -BinaryData- se carga en la memoria.
Con información de medios
