Hacker utilizzano false immagini di OnlyFans per diffondere malware ruba-informazioni

da Redazione
0 commenti 1 minuti leggi

Gli hacker stanno sfruttando il servizio di abbonamento a contenuti OnlyFans per diffondere un trojan di accesso remoto noto come โ€˜DcRATโ€™. Questo malware permette agli attori delle minacce di rubare dati e credenziali o di distribuire ransomware sul dispositivo infetto.

Come funziona lโ€™attacco

La campagna di malware, scoperta da eSentire, รจ in corso dal gennaio 2023 e diffonde file ZIP che contengono un loader VBScript che la vittima viene ingannata a eseguire manualmente, pensando di accedere a collezioni premium di OnlyFans. La catena di infezione รจ sconosciuta, ma potrebbe trattarsi di post su forum malevoli, messaggi istantanei, malvertising o addirittura siti Black SEO che si classificano in alto per termini di ricerca specifici.

Il payload del malware

Il payload, denominato โ€˜BinaryDataโ€™, viene caricato in memoria e iniettato nel processo โ€˜RegAsm.exeโ€™, una parte legittima del .NET Framework meno probabile da essere segnalata dagli strumenti AV. Il payload iniettato รจ DcRAT, una versione modificata di AsyncRAT che รจ liberamente disponibile su GitHub e che il suo autore ha abbandonato dopo che sono emersi online diversi casi di abuso.

Funzionalitร  del DcRAT

DcRAT esegue il keylogging, il monitoraggio della webcam, la manipolazione dei file e lโ€™accesso remoto, e puรฒ anche rubare credenziali e cookie dai browser web o prendere i token di Discord. Inoltre, DcRAT dispone di un plugin ransomware che prende di mira tutti i file non di sistema e aggiunge lโ€™estensione del nome file โ€œ.DcRatโ€ ai file crittografati.

Annunci

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara