OnlyFans: attenti alle raccolte premium gratis sul web. Nascondono pericolosi malware

I ricercatori di sicurezza di eSentire hanno individuato una nuova campagna malware che sfrutta i contenuti di OnlyFans per distribuire strumenti di accesso remoto tramite i quali sottrarre informazioni e credenziali o distribuire ransomware. La campagna è in corso almeno dal mese di gennaio e si basa sulla diffusione di archivi ZIP che contengono un loader VBScript. 

Al momento non sono noti i dettagli sulla catena di infezione, ma si ipotizza che possa trattarsi di post su forum, messaggi istantanei, malvertising o siti Black SEO che ottengono posizionamenti elevati sui motori di ricerca per termini specifici allo scopo di ingannare le vittime facendo loro credere di avere a che fare con raccolte premium gratuite del popolare sito di contenuti per adulti. In questo modo la vittima viene indotta ad eseguire manualmente il loader.

Il loader VBScript è una versione modificata di uno script già osservato in passato, in una campagna del 2021 e che allora si presentava come uno script di stampa di Windows leggermente modificato. Questo loader, una volta avviato, esegue un controllo sull'achitettura del sistema operativo e genera un processo a 32-bit funzionale per i passaggi successivi. Avviene quindi l'estrazione di un file DLL che viene registrato con il comando Regsvr32.exe.

In questo modo il malware può accedere allo strumento DynamicWrapperX, che permette di chiamare funzioni dall'API di Windows o da altri file DLL. A questo punto viene caricato in memoria il payload, chiamato "BinaryData", e inserito nel processo RegAsm.exe: si tratta di una parte legittima di .NET Framework e che ha meno probabilità di essere individuato dagli strumenti antivirus. 

Il payload è DcRAT: anche in questo caso uno strumento già noto ai ricercatori di sicurezza, trattandosi di una versione modificata di AsyncRAT e disponibile gratuitamente su GitHub, oltre a essere stato abbandonato dal suo creatore dopo diversi casi di abuso emersi online.

DcRAT può eseguire la registrazione dei tasti premuti sulla tastiera, intercettare le immagini provenienti dalla webcam, modificare i file, consentire l'accesso remoto e sottrarre credenziali e cookie dai browser o token di autenticazione. Come se non bastasse, DcRAT prevede anche la possibilità di essere espanso tramite un "plug-in" ransomware che attaccat tutti i file non di sistema crittografandoli e aggiungendo l'estensione .DcRat.

Come sempre vale la raccomandazione di prestare particolare attenzione quando si scaricano archivi o file eseguibili provenienti da fonti di dubbia autenticità e affidabilità, in particolar modo quando si crede di poter accedere gratuitamente a servizi o contenuti che di norma sono a pagamento. Insomma: usate le protezioni, anche con OnlyFans.