面向成人的订阅服务OnlyFans遭到了新的恶意软件活动的攻击,该活动利用虚假内容通过远程访问木马(RAT)感染用户的设备。
安全公司eSentire发现了这一行动,该行动自今年年初以来一直在进行。分发的ZIP文件包含VBScript加载程序,当用户认为自己可以访问高级OnlyFans内容时,他们会无意中激活该加载程序。
目前尚不清楚引诱受害者的最初攻击媒介是什么,但有建议称它可能是论坛帖子、即时消息、恶意广告链接或在某些术语的搜索结果中排名靠前的黑色SEO网站。
直流RAT
OnlyFans品牌之前曾被威胁行为者使用过,包括在2023年1月,黑客滥用英国政府官方网站上的开放重定向链接,将用户引导至该网站的假版本。
在这次新的活动中,有效负载被称为DcRAT,它是GitHub上免费提供的AsyncRAT的修改版本,尽管作者在被滥用后已经放弃了。
当VBScript加载程序被激活时,它会提取并注册“dynwrapx.dll”,该文件授予对DynamicWrapperX的访问权限,从而允许从WindowsAPI和其他DLL调用函数。
然后,名为“BinaryData”的东西被加载到“RegAsm.exe”(.NETFramework的合法进程部分)中,这意味着它不太可能被防病毒软件标记。这就是DCRAT的交付方式。
然后,DcRAT可以执行各种恶意操作,包括键盘记录、监控网络摄像头、操纵文件、窃取凭据和浏览器cookie以及远程访问您的设备。
它还包含一个勒索软件插件,该插件会影响所有非系统文件,并使用.DcRAT文件扩展名对其进行加密,使用户在没有解密密钥的情况下无法访问它们,威胁行为者将要求您勒索赎金。