Kötü amaçlı yazılım kampanyası, 'DCRAT' olarak bilinen bir uzaktan erişim Truva atı yüklemek için sahte Onlyfans içeriği ve yetişkin yemlerini kullanıyor ve tehdit aktörlerinin enfekte cihaza veri ve kimlik bilgilerini çalmasına veya fidye yazılımı dağıtmasına izin veriyor.
OnlyFans, ücretli abonelerin yetişkin modelleri, ünlüler ve sosyal medya kişiliklerinden özel fotoğraflara, videolara ve yayınlara erişebileceği bir içerik abonelik hizmetidir.
Yaygın olarak kullanılan bir site ve son derece tanınabilir bir addır, bu nedenle ücretli içeriğe ücretsiz erişmek isteyen insanlar için bir mıknatıs görevi görebilir.
Bu, tehdit aktörlerinin kötü niyetli hedeflerine ulaşmak için sadece FANSAN'lardan yararlanmadığı için, Ocak 2023'te, saldırganlar bir İngiltere eyalet sitesinde ziyaretçileri sahte sitelere yönlendirmek için açık bir yönlendirmeyi istismar etti.
Esentir tarafından keşfedilen yeni kampanya, Ocak 2023'ten bu yana devam ediyor ve bir VBScript yükleyicisi içeren zip dosyalarını yayıyor, kurbanın sadece premium koleksiyonlara erişmek üzere olduklarını düşünerek manuel olarak yürütülmesi için kandırılıyor.
Enfeksiyon zinciri bilinmemektedir, ancak kötü niyetli forum yayınları, anlık mesajlar, kötü niyetli ve hatta belirli arama terimlerinde yüksek sırada yer alan siyah SEO alanları olabilir. Eclypsium tarafından paylaşılan bir örnek, eski yetişkin film oyuncusu Mia Khalifa'nın çıplak fotoğrafları gibi davranıyor.
VBScript Yükleyici, Splunk tarafından keşfedilen ve biraz değiştirilmiş bir Windows baskı komut dosyası olan 2021 kampanyasında gözlemlenen bir komut dosyasının minimal olarak değiştirilmiş ve gizlenmiş bir sürümüdür.
Başlatıldığında, işletim sistemi mimarisini WMI kullanarak kontrol eder ve aşağıdaki adımlar için gerektiği gibi 32 bit bir işlem oluşturur, gömülü bir DLL dosyasını ("Dynwrapx.dll") çıkarır ve DLL'yi regsvr32.exe komutuyla kaydeder.
Bu, Windows API veya diğer DLL dosyalarından arama işlevlerini sağlayan bir araç olan DynamicWrapperx'e kötü amaçlı yazılım erişimini sağlar.
Nihayetinde, 'Binarydata' adlı yük, belleğe yüklenir ve .NET çerçevesinin meşru bir parçası olan 'regasm.exe' işlemine enjekte edilir.
Enjekte edilen yük, GitHub'da serbestçe sunulan ve birkaç istismar vakası çevrimiçi olarak ortaya çıktıktan sonra yazarının terk ettiği Asyncrat'ın değiştirilmiş bir sürümü olan DCRAT'dır.
Bu vakalardan biri, siyasi temalı bir tehdit aktörünün onu diğer bazı kötü amaçlı yazılım aileleriyle birlikte tehlikeye atılmış sistemlere düşürdüğü Ekim 2021'den geliyor.
DCRAT, keyloglama, web kamerası izleme, dosya manipülasyonu ve uzaktan erişim gerçekleştirir ve ayrıca web tarayıcılarından veya uyumsuzluk jetonlarından kimlik bilgilerini ve çerezleri çalabilir.
Ayrıca DCRAT, tüm sistem dışı dosyaları hedefleyen ve ".dcrrat" dosya adı uzantısını şifreli dosyalara ekleyen bir fidye yazılımı eklentisine sahiptir.
Şüpheli kaynaklardan, özellikle premium/ücretli içeriğe ücretsiz erişim sunan arşivleri veya yürütülebilir ürünleri indirirken dikkatli olmak önemlidir.
Yeni 'PowerDrop' PowerShell kötü amaçlı yazılım hedefleri ABD havacılık endüstrisi
50.000 kurulum ile uygulamada gizli yeni Ahrat Android kötü amaçlı yazılım
Gizli Seroxen Sıçan Kötü Yazılım Giderek Oyuncuları Hedeflemek İçin Kullanılır
Romcom kötü amaçlı yazılım, chatgpt, gimp, daha fazla google reklamları aracılığıyla yayıldı
Decoy Köpek Kötü Yazılım Araç Seti 70 milyar DNS sorgusunu analiz ettikten sonra bulundu
Kaynak: Bleeping Computer