Une campagne de logiciels malveillants utilise de faux contenus OnlyFans et des leurres pour adultes pour installer un cheval de Troie d’accès à distance appelé « DcRAT », permettant aux acteurs de la menace de voler des données et des informations d’identification ou de déployer un rançongiciel sur l’appareil infecté.

OnlyFans est un service d’abonnement au contenu où les abonnés payants peuvent accéder à des photos, vidéos et publications privées de modèles adultes, de célébrités et de personnalités des médias sociaux.

C’est un site largement utilisé et un nom très reconnaissable, il peut donc agir comme un aimant pour les personnes qui cherchent à accéder gratuitement à du contenu payant.

Ce n’est pas la première fois que des acteurs de la menace profitent d’OnlyFans pour atteindre leurs objectifs malveillants, car en janvier 2023, des attaquants ont abusé d’une redirection ouverte sur un site d’État britannique pour diriger les visiteurs vers de faux sites OnlyFans.

La nouvelle campagne découverte par eSentire est en cours depuis janvier 2023, diffusant des fichiers ZIP contenant un chargeur VBScript que la victime est amenée à exécuter manuellement, pensant qu’elle est sur le point d’accéder aux collections premium OnlyFans.

La chaîne d’infection est inconnue, mais il peut s’agir de messages de forum malveillants, de messages instantanés, de publicités malveillantes ou même de sites de référencement noir qui se classent en tête dans des termes de recherche spécifiques. Un échantillon partagé par Eclypsium prétend être des photos nues de l’ancienne actrice de films pour adultes Mia Khalifa.

Le chargeur VBScript est une version minimalement modifiée et obscurcie d’un script observé dans une campagne de 2021 découverte par Splunk, qui était un script d’impression Windows légèrement modifié.

Shellcode obscurci

Une fois lancé, il vérifie l’architecture du système d’exploitation à l’aide de WMI et génère un processus 32 bits comme requis pour les étapes suivantes, extrait un fichier DLL intégré (« dynwrapx.dll ») et enregistre la DLL avec la commande Regsvr32.exe.

Cela permet au logiciel malveillant d’accéder à DynamicWrapperX, un outil qui permet d’appeler des fonctions à partir de l’API Windows ou d’autres fichiers DLL.

En fin de compte, la charge utile, nommée « BinaryData », est chargée en mémoire et injectée dans le processus « RegAsm.exe », une partie légitime du .NET Framework moins susceptible d’être signalée par les outils AV.

Injecter la charge utile dans un processus légitime

La charge utile injectée est DcRAT, une version modifiée d’AsyncRAT qui est disponible gratuitement sur GitHub et que son auteur a abandonnée après que plusieurs cas d’abus ont fait surface en ligne.

L’un de ces cas remonte à octobre 2021, lorsqu’un acteur malveillant à thème politique l’a déposé sur des systèmes compromis avec plusieurs autres familles de logiciels malveillants.

DcRAT effectue l’enregistrement de frappe, la surveillance de la webcam, la manipulation de fichiers et l’accès à distance, et il peut également voler les informations d’identification et les cookies des navigateurs Web ou arracher des jetons Discord.

De plus, DcRAT propose un plug-in de ransomware qui cible tous les fichiers non système et ajoute l’extension de nom de fichier « .DcRat » aux fichiers cryptés.

Il est important de faire preuve de prudence lors du téléchargement d’archives ou d’exécutables provenant de sources douteuses, en particulier celles offrant un accès gratuit à du contenu premium/payant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *