OnlyFans è una piattaforma per adulti che richiede la sottoscrizione di un abbonamento per accedere ai contenuti. Ignoti cybercriminali hanno distribuito diverse immagini esplicite, facendo credere alle vittime che provengono dal popolare sito. In realtà, lo scopo finale è rubare dati personali e credenziali di login con DcRAT o installare ransomware sul dispositivo.
Attenzione alle immagini fake di OnlyFans
I ricercatori di eSentire hanno scoperto diversi archivi ZIP contenenti immagini provenienti da OnlyFans. Non è noto come è iniziata la catena di infezione. Probabilmente i file sono stati pubblicizzati su forum o inviati tramite app di messaggistica. All’interno c’è un loader VBSCript che, se eseguito, verifica l’architettura del sistema operativo con WMI (Windows Management Instrumentation) e copia sul computer il file dynwrapx.dll
.
La DLL viene registrata con il comando Regsvr32.exe
per consentire l’accesso all’oggetto DynamicWrapperX. Il payload, denominato BinaryData, viene quindi caricato in memoria e iniettato nel processo legittimo RegAsm.exe
, parte del .NET Framework. Il suddetto payload è DcRAT, una versione modificata di AsyncRAT.
Il malware può effettuare l’accesso remoto, registrare i tasti premuti (keylogging), monitorare la webcam, modificare i file, rubare i token di Discord e dati (credenziali e cookie) dai browser. DcRAT permette inoltre di aggiungere funzionalità tramite plugin, come quello che installa un ransomware (i file cifrati avranno estensione .DcRat
).
Ovviamente il consiglio è non scaricare archivi o file eseguibili da fonti sconosciute, soprattutto se viene offerta la possibilità di accedere gratuitamente a contenuti a pagamento.