Sommario
Gli hacker stanno sfruttando il servizio di abbonamento a contenuti OnlyFans per diffondere un trojan di accesso remoto noto come ‘DcRAT’. Questo malware permette agli attori delle minacce di rubare dati e credenziali o di distribuire ransomware sul dispositivo infetto.
Come funziona l’attacco
La campagna di malware, scoperta da eSentire, è in corso dal gennaio 2023 e diffonde file ZIP che contengono un loader VBScript che la vittima viene ingannata a eseguire manualmente, pensando di accedere a collezioni premium di OnlyFans. La catena di infezione è sconosciuta, ma potrebbe trattarsi di post su forum malevoli, messaggi istantanei, malvertising o addirittura siti Black SEO che si classificano in alto per termini di ricerca specifici.
Il payload del malware
Il payload, denominato ‘BinaryData’, viene caricato in memoria e iniettato nel processo ‘RegAsm.exe’, una parte legittima del .NET Framework meno probabile da essere segnalata dagli strumenti AV. Il payload iniettato è DcRAT, una versione modificata di AsyncRAT che è liberamente disponibile su GitHub e che il suo autore ha abbandonato dopo che sono emersi online diversi casi di abuso.
Funzionalità del DcRAT
DcRAT esegue il keylogging, il monitoraggio della webcam, la manipolazione dei file e l’accesso remoto, e può anche rubare credenziali e cookie dai browser web o prendere i token di Discord. Inoltre, DcRAT dispone di un plugin ransomware che prende di mira tutti i file non di sistema e aggiunge l’estensione del nome file “.DcRat” ai file crittografati.
