De acuerdo a medios internacionales investigadores de eSentire advirtieron de una campaña de software malicioso que es ofrecido como contenido de OnlyFans que instala un troyano de acceso remoto conocido como DcRAT. Y que permite robar información y credenciales, así como implementar un secuestro de datos del dispositivo infectado.
Los ciberdelincuentes están distribuyéndolo a través de archivos ZIP utilizando como señuelo contenido explícito y de carácter gratuito de la página OnlyFans. Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, en mayo de 2023 se identificó este software malicioso. El cual es un clon de AsyncRAT, una herramienta de acceso remoto diseñada para monitorear y controlar los equipos de las víctimas.
El señuelo
En concreto, invita a las víctimas a descargar archivos ZIP que presuntamente contienen vídeos de carácter gratuito pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.
Este cargador es una versión modificada de un ‘script’ de impresión de Windows detectado en otra campaña maliciosa de 2021. Y, además de capacidades básicas de ‘ransomware’. Como el registro de teclas, acceso remoto al sistema, manipulación de archivos y control de la cámara web. También puede robar ‘cookies’ de navegación y tokens de Discord.
La publicación indica que una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI). Luego extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado, concretamente, con Regsvr32.exe.
Esto le da acceso al malware a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil (BinaryData) se carga en la memoria.
¿Un nuevo OnlyFans? Playboy migra a la era digital
