Кража у воров
Хакеры атакуют злоумышленников с помощью поддельного ИТ-инструмента на OnlyFans. Об этом в начале сентября 2024 г. говориться в опубликованном материале на Veriti Research. Программа помогает красть аккаунты, но вместо этого заражает злоумышленников вредоносным ПО Lumma stealer, похищающим информацию.
OnlyFans - это онлайн-платформа, которая предоставляет возможность создавать и распространять контент, включая фотографии, видео и текстовые материалы, за подписку. ИТ-платформа была запущена в 2016 г., OnlyFans приобрела огромную популярность и привлекла множество создателей контента со всего мира. Сервис сначала ориентировался на развлекательную индустрию. Целевой аудиторией приложения были модели, актеры, музыканты и прочие творческие личности, которые хотели монетизировать свое творчество и взаимодействовать с поклонниками в более прямом и эксклюзивном формате. Однако платформа стала привлекать и других пользователей: писателей, тренеров по фитнесу и, конечно, вебкамщиц и порноактеров.
Благодаря своей популярности аккаунты OnlyFans часто становятся объектами ИТ-угроз, которые пытаются взломать их, чтобы украсть платежи фанатов, вымогать у владельца аккаунта выкуп или просто слить частные фотографии.
Инструмент Checker предназначен для проверки больших наборов украденных учетных данных (имен пользователей и паролей), проверяя, совпадают ли они с учетными данными OnlyFans и являются ли все еще действительными. Без этого инструмента злоумышленникам пришлось бы вручную проверять тысячи пар учетных данных - непрактичный и утомительный процесс, который сделал бы схему нежизнеспособной. Однако этот инструмент обычно создаются ИТ-разработчиками, что заставляет злоумышленников верить в их безопасность, и в некоторых случаях это приводит к обратному результату.
Компания Veriti обнаружила случай, когда программа проверки OnlyFans обещала подтвердить учетные данные, проверить баланс аккаунта, проверить способы оплаты и определить привилегии создателя, но вместо этого устанавливала вирус Lumma, похищающую информацию. Полезная нагрузка под названием brtjgjsefd.exe берется из репозитория GitHub и загружается на компьютер жертвы.
Lumma - это вредоносное ПО как услуга (MaaS), которое с 2022 г. сдается в аренду киберпреступникам за от $250 до $1 тыс. в месяц и распространяется с помощью различных средств, включая вредоносную рекламу, комментарии на YouTube, торренты, а с недавних пор и комментарии на GitHub. Этот вирус с инновационными механизмами уклонения и способностью восстанавливать токены сеансов Google с истекшим сроком действия. В основном Lumma известен тем, что похищает коды двухфакторной аутентификации, криптовалютные кошельки, а также пароли, куки (сookie) и данные кредитных карт, хранящиеся в браузере и файловой ИТ-системе жертвы. Вирус также выступает в роли загрузчика, способного внедрять в скомпрометированную ИТ-систему дополнительные полезные нагрузки и выполнять сценарии PowerShell.
Исследователи по информационной безопасности (ИБ) в Veriti Research обнаружили, что при запуске полезной нагрузки Lumma Stealer подключается к учетной записи GitHub под именем userbesty. В частности, в репозитории GitHub содержатся исполняемые файлы, напоминающие чекеры для аккаунтов Disney+, Instagram* (принадлежит организации Meta, которая признана экстремистской на территории России). Похитителей аккаунтов с Disney+ заманивают на DisneyChecker.exe, злоумышленников с Instagram заманивают с помощью InstaCheck.exe, а любителей ботнетов заманивают с помощью ccMirai.exe.
Изучая коммуникации вредоносной программы Lumma, исследователи Veriti Research обнаружили набор доменов .shop, которые выступали в роли командно-контрольных (C2) серверов, отправляя команды Lumma и получая от нее данные.
Информационная преступность
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые создают вредоносные программы, чтобы использовать их в криминальных целях. Эти киберпреступники создают компьютерные вирусы и троянские программы, которые способны: красть коды доступа к банковским счетам; рекламировать продукты или услуги на компьютере жертвы; нелегально использовать ресурсы зараженного компьютера, чтобы разрабатывать и осуществлять сетевые атаки (также называемые DDoS-атаками); шантаж.
Для защиты от киберпреступников, использующих самые разные технологии, чтобы атаковать компьютеры и получить доступ к пользовательским данным, требуется многоуровневая антивирусная защита.
По данным «Лаборатории Касперского», в 2024 г. доля киберпреступлений среди всех видов регистрируемых в России преступлений за год увеличилась с 31,8% до 38%. При этом относительно уровня 2023 г. их массив возрос на 17,4% (до 240,9 тыс.). До половины всех преступлений – факты мошенничества, совершенного дистанционно с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Количество таких преступлений за первые 4 месяца 2024 г. достигло 121,8 тыс., а темпы прироста преступлений в этом году превысили 12,7%. Тем не менее, число краж, совершенных с банковских счетов граждан, за рассматриваемый период снизилось на 6% по сравнению с 2023 г. и составило 33,5 тыс.
Несмотря на то, что дистанционные хищения остаются лидерами в общей структуре ИТ-преступлений, доля других категорий будет только расти. Прежде всего, это касается преступлений, связанных с несанкционированным доступом к информационным системам. Например, только в период с декабря 2023 по февраль 2024 г. в «Лаборатории Касперского» зафиксировали шестикратный рост DDoS-атак по сравнению со значением 2022–2023 гг.
Instagram* (принадлежит организации Meta, которая признана экстремистской на территории России).
Поделиться