Инструмент для взлома аккаунтов OnlyFans подсаживает пользователям троян, ворующим кредитки и криптокошельки
Компания Veriti обнаружила, что киберпреступники начали использовать поддельный инструмент для взлома аккаунтов OnlyFans, который вместо выполнения обещанных функций заражает злоумышленников вредоносным ПО. Хакеры использовали поддельные чекеры для других популярных платформ – Disney+ и Instagram*.
Кража у воров
Хакеры атакуют злоумышленников с помощью поддельного ИТ-инструмента на OnlyFans. Об этом в начале сентября 2024 г. говориться в опубликованном материале на Veriti Research. Программа помогает красть аккаунты, но вместо этого заражает злоумышленников вредоносным ПО Lumma stealer, похищающим информацию.
OnlyFans - это онлайн-платформа, которая предоставляет возможность создавать и распространять контент, включая фотографии, видео и текстовые материалы, за подписку. ИТ-платформа была запущена в 2016 г., OnlyFans приобрела огромную популярность и привлекла множество создателей контента со всего мира. Сервис сначала ориентировался на развлекательную индустрию. Целевой аудиторией приложения были модели, актеры, музыканты и прочие творческие личности, которые хотели монетизировать свое творчество и взаимодействовать с поклонниками в более прямом и эксклюзивном формате. Однако платформа стала привлекать и других пользователей: писателей, тренеров по фитнесу и, конечно, вебкамщиц и порноактеров.
Благодаря своей популярности аккаунты OnlyFans часто становятся объектами ИТ-угроз, которые пытаются взломать их, чтобы украсть платежи фанатов, вымогать у владельца аккаунта выкуп или просто слить частные фотографии.
Инструмент Checker предназначен для проверки больших наборов украденных учетных данных (имен пользователей и паролей), проверяя, совпадают ли они с учетными данными OnlyFans и являются ли все еще действительными. Без этого инструмента злоумышленникам пришлось бы вручную проверять тысячи пар учетных данных - непрактичный и утомительный процесс, который сделал бы схему нежизнеспособной. Однако этот инструмент обычно создаются ИТ-разработчиками, что заставляет злоумышленников верить в их безопасность, и в некоторых случаях это приводит к обратному результату.
Компания Veriti обнаружила случай, когда программа проверки OnlyFans обещала подтвердить учетные данные, проверить баланс аккаунта, проверить способы оплаты и определить привилегии создателя, но вместо этого устанавливала вирус Lumma, похищающую информацию. Полезная нагрузка под названием brtjgjsefd.exe берется из репозитория GitHub и загружается на компьютер жертвы.
Lumma - это вредоносное ПО как услуга (MaaS), которое с 2022 г. сдается в аренду киберпреступникам за от $250 до $1 тыс. в месяц и распространяется с помощью различных средств, включая вредоносную рекламу, комментарии на YouTube, торренты, а с недавних пор и комментарии на GitHub. Этот вирус с инновационными механизмами уклонения и способностью восстанавливать токены сеансов Google с истекшим сроком действия. В основном Lumma известен тем, что похищает коды двухфакторной аутентификации, криптовалютные кошельки, а также пароли, куки (сookie) и данные кредитных карт, хранящиеся в браузере и файловой ИТ-системе жертвы. Вирус также выступает в роли загрузчика, способного внедрять в скомпрометированную ИТ-систему дополнительные полезные нагрузки и выполнять сценарии PowerShell.
Исследователи по информационной безопасности (ИБ) в Veriti Research обнаружили, что при запуске полезной нагрузки Lumma Stealer подключается к учетной записи GitHub под именем userbesty. В частности, в репозитории GitHub содержатся исполняемые файлы, напоминающие чекеры для аккаунтов Disney+, Instagram* (принадлежит организации Meta, которая признана экстремистской на территории России). Похитителей аккаунтов с Disney+ заманивают на DisneyChecker.exe, злоумышленников с Instagram заманивают с помощью InstaCheck.exe, а любителей ботнетов заманивают с помощью ccMirai.exe.
Изучая коммуникации вредоносной программы Lumma, исследователи Veriti Research обнаружили набор доменов .shop, которые выступали в роли командно-контрольных (C2) серверов, отправляя команды Lumma и получая от нее данные.
Информационная преступность
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые создают вредоносные программы, чтобы использовать их в криминальных целях. Эти киберпреступники создают компьютерные вирусы и троянские программы, которые способны: красть коды доступа к банковским счетам; рекламировать продукты или услуги на компьютере жертвы; нелегально использовать ресурсы зараженного компьютера, чтобы разрабатывать и осуществлять сетевые атаки (также называемые DDoS-атаками); шантаж.
Для защиты от киберпреступников, использующих самые разные технологии, чтобы атаковать компьютеры и получить доступ к пользовательским данным, требуется многоуровневая антивирусная защита.
По данным «Лаборатории Касперского», в 2024 г. доля киберпреступлений среди всех видов регистрируемых в России преступлений за год увеличилась с 31,8% до 38%. При этом относительно уровня 2023 г. их массив возрос на 17,4% (до 240,9 тыс.). До половины всех преступлений – факты мошенничества, совершенного дистанционно с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Количество таких преступлений за первые 4 месяца 2024 г. достигло 121,8 тыс., а темпы прироста преступлений в этом году превысили 12,7%. Тем не менее, число краж, совершенных с банковских счетов граждан, за рассматриваемый период снизилось на 6% по сравнению с 2023 г. и составило 33,5 тыс.
Несмотря на то, что дистанционные хищения остаются лидерами в общей структуре ИТ-преступлений, доля других категорий будет только расти. Прежде всего, это касается преступлений, связанных с несанкционированным доступом к информационным системам. Например, только в период с декабря 2023 по февраль 2024 г. в «Лаборатории Касперского» зафиксировали шестикратный рост DDoS-атак по сравнению со значением 2022–2023 гг.
Instagram* (принадлежит организации Meta, которая признана экстремистской на территории России).