È emersa una nuova campagna di malware che sfrutta la popolarità di OnlyFans, una piattaforma di contenuti in abbonamento nota per i contenuti per adulti. I criminali diffondono falsi contenuti della piattaforma, facendo credere agli utenti di potervi accedere gratuitamente. Ma in verità serve a distribuire un trojan per l'accesso remoto (RAT) chiamato "DcRAT", un software che consente di ottenere un accesso non autorizzato ai dispositivi infetti, rubare dati sensibili e credenziali o distribuire ransomware.
Lo scenario è forse il più classico di tutti: si attira la vittima con la promessa di avere gratis qualcosa che altrimenti sarebbe a pagamento, e poi si colpisce. Una situazione che si ripete uguale a sé stessa praticamente da quanto esiste Internet. Eppure continua a funzionare, il che potrebbe sembrare sorprendente, ma non lo è se si pensa che ci sono inganni che funzionano da migliaia di anni.
OnlyFans, quindi, è solo l’ultima interpretazione di un copione già noto: dovremmo avere imparato ormai che se una cosa è gratis non è il caso di fidarsi, ma forse siamo proprio programmati per cadere in certe trappole.
La recente campagna, scoperta da eSentire, è attiva dal gennaio 2023. Comporta la diffusione di file ZIP contenenti un loader VBScript. Le vittime vengono indotte a eseguire manualmente il loader, credendo di ottenere l'accesso alle collezioni premium di OnlyFans.
Il metodo esatto di infezione è attualmente sconosciuto. Potrebbe avvenire attraverso messaggi sui forum, messaggi istantanei, malvertising (pubblicità dannosa) o anche attraverso siti Black SEO che si posizionano in alto per termini di ricerca specifici. Un esempio condiviso da Eclypsium si presenta come foto di nudo dell'ex attrice di film per adulti Mia Khalifa.
Una volta lanciato, il software controlla l'architettura del sistema operativo e, se necessario, avvia un processo a 32 bit. Estrae un file DLL incorporato denominato "dynwrapx.dll" e lo registra utilizzando il comando Regsvr32.exe. Ciò consente al malware di utilizzare DynamicWrapperX, uno strumento che facilita la chiamata di funzioni dall'API di Windows o da altri file DLL.
Il payload, denominato "BinaryData", viene quindi caricato in memoria e iniettato nel processo legittimo "RegAsm.exe", che fa parte di .NET Framework. Questo metodo riduce la probabilità di rilevamento da parte degli antivirus.
Il payload iniettato è DcRAT, una versione modificata del trojan AsyncRAT, un vecchio software ancora disponibile su GitHub. DcRAT possiede diverse funzionalità dannose, tra cui keylogging, monitoraggio della webcam, manipolazione dei file e accesso remoto. Può anche rubare credenziali, cookie dai browser web e token Discord.
Inoltre, DcRAT incorpora un plugin ransomware che prende di mira i file non di sistema e li cripta, aggiungendo l'estensione ".DcRat" ai file criptati.
Per evitare problemi la prudenza è sempre la nostra migliore arma. Dobbiamo essere più consapevoli e più attenti, magari potremmo anche introdurre questi argomenti nelle scuole. E sicuramente non fa male installare un buon antivirus sul proprio computer.Immagine di copertina: alanpoulson