Sommario
Gli hacker stanno sfruttando il servizio di abbonamento a contenuti OnlyFans per diffondere un trojan di accesso remoto noto come โDcRATโ. Questo malware permette agli attori delle minacce di rubare dati e credenziali o di distribuire ransomware sul dispositivo infetto.
Come funziona lโattacco
La campagna di malware, scoperta da eSentire, รจ in corso dal gennaio 2023 e diffonde file ZIP che contengono un loader VBScript che la vittima viene ingannata a eseguire manualmente, pensando di accedere a collezioni premium di OnlyFans. La catena di infezione รจ sconosciuta, ma potrebbe trattarsi di post su forum malevoli, messaggi istantanei, malvertising o addirittura siti Black SEO che si classificano in alto per termini di ricerca specifici.
Il payload del malware
Il payload, denominato โBinaryDataโ, viene caricato in memoria e iniettato nel processo โRegAsm.exeโ, una parte legittima del .NET Framework meno probabile da essere segnalata dagli strumenti AV. Il payload iniettato รจ DcRAT, una versione modificata di AsyncRAT che รจ liberamente disponibile su GitHub e che il suo autore ha abbandonato dopo che sono emersi online diversi casi di abuso.
Funzionalitร del DcRAT
DcRAT esegue il keylogging, il monitoraggio della webcam, la manipolazione dei file e lโaccesso remoto, e puรฒ anche rubare credenziali e cookie dai browser web o prendere i token di Discord. Inoltre, DcRAT dispone di un plugin ransomware che prende di mira tutti i file non di sistema e aggiunge lโestensione del nome file โ.DcRatโ ai file crittografati.