Los piratas informáticos se dirigen a otros piratas informáticos con herramientas falsas de Onlyfans que afirman ayudar a robar cuentas, pero en realidad están infectando a los actores de amenazas con el malware de robo de información Lumma.
El comportamiento, descubierto por Verity Research, es un excelente ejemplo de cómo las líneas entre depredador y víctima se están desdibujando en el mundo del cibercrimen, que está lleno de ironías y traiciones.
“Confirmación” de infección por Lumma
Onlyfans es una plataforma de contenido para adultos basada en suscripción muy popular que permite a los creadores ganar dinero de los usuarios (denominados “fans”) que pagan por el acceso a su contenido.
Los creadores pueden compartir videos, imágenes, mensajes y transmisiones en vivo con los suscriptores, y los suscriptores pagan tarifas recurrentes o pagos únicos por contenido exclusivo.
Debido a la popularidad de las cuentas de OnlyFans, a menudo son el objetivo de actores de amenazas que intentan apoderarse de las cuentas para robar pagos de los fanáticos, pedir rescate a los propietarios de las cuentas o simplemente filtrar fotos privadas.
La herramienta de verificación está diseñada para validar una gran cantidad de credenciales de inicio de sesión robadas (nombres de usuario y contraseñas) y verificar si los detalles de inicio de sesión coinciden con una cuenta de Onlyfans y si aún son válidos.
Sin estas herramientas, los ciberdelincuentes tendrían que probar manualmente miles de combinaciones de credenciales, un proceso poco práctico y engorroso que haría que este plan fuera inviable.
Sin embargo, estas herramientas suelen ser creadas por otros ciberdelincuentes, lo que lleva a los piratas informáticos a creer que son seguras de usar, lo que a veces puede resultar contraproducente.
Veriti ha descubierto casos de verificadores de Onlyfans que prometen verificar credenciales, verificar saldos de cuentas, verificar métodos de pago y determinar privilegios de autor, pero en realidad instalan malware de robo de información Lumma.
Anuncios de verificación para actores de amenazas en foros de piratas informáticos
Fuente: Veracidad
La carga útil denominada 'brtjgjsefd.exe' se recupera de un repositorio de GitHub y se carga en la computadora de la víctima.
Lumma es un servicio de malware que roba información (MaaS).
Se trata de un malware avanzado que roba información con mecanismos de evasión innovadores y la capacidad de restaurar tokens de sesión de Google caducados. Es conocido principalmente por robar códigos de autenticación de dos factores, billeteras de criptomonedas, contraseñas, cookies e información de tarjetas de crédito almacenadas en los navegadores y sistemas de archivos de las víctimas.
Lumma también puede actuar como cargador e implementar cargas útiles adicionales en sistemas comprometidos o ejecutar scripts de PowerShell.
operaciones de engaño más amplias
Veriti reveló que una vez que se lanza la carga útil de Lumma Stealer, se conecta a una cuenta de GitHub llamada “UserBesty”, que utilizan los ciberdelincuentes detrás de esta campaña para alojar otras cargas útiles maliciosas que descubrí.
Repositorio malicioso de GitHub
Fuente: Veracidad
Específicamente, el repositorio de GitHub contiene ejecutables que se asemejan a correctores para cuentas de Disney+, Instagram y lo que parece ser el generador de botnets Mirai.
Los ladrones de cuentas de Disney+ están siendo atacados con DisneyChecker.exe, los piratas informáticos de Instagram están siendo atraídos con InstaCheck.exe y los posibles creadores de botnets están siendo atraídos con ccMirai.exe.
Profundizando en las comunicaciones del malware, los investigadores de Veriti descubrieron una serie de dominios “.shop” que actúan como servidores de comando y control (C2), enviando comandos a Lumma y recibiendo datos exfiltrados.
Esta campaña no es la primera vez que los actores de amenazas se dirigen a otros ciberdelincuentes con ataques maliciosos.
En marzo de 2022, los piratas informáticos utilizaron herramientas de robo de portapapeles disfrazadas de RAT descifradas y herramientas de creación de malware para atacar a los piratas informáticos y robar criptomonedas.
Más tarde ese año, los desarrolladores de malware instalaron puertas traseras en su propio malware para robar credenciales, billeteras de criptomonedas y datos de cuentas VPN de otros piratas informáticos.
https://www.bleepingcomputer.com/news/security/hacker-trap-fake-onlyfans-tool-backstabs-cybercriminals-steals-passwords/
