A través de archivos ZIP, los ciberdelincuentes distribuyen malware por medio de contenido explícito (como fotografías y vídeos), de carácter gratuito de la página web para adultos OnlyFans.
OnlyFans es una red social en la que se puede compartir todo tipo de contenidos bajo suscripción. Permite monetizar tanto contenido multimedia como audios con textos.
Lee también: Expertos explican por qué se calienta Europa
Ciberdelincuentes OnlyFans
Un troyano de acceso remoto conocido como DcRAT, instala una campaña de malware, según advirtieron investigadores de eSentire. Esto permite a los actores de amenazas robar información y credenciales, así como implementar ransomware en el dispositivo infectado.
Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, fue en mayo de 2023 cuando se identificó este software malicioso, que resulta ser un clon de AsyncRAT. Una herramienta de acceso remoto (RAT) diseñada para monitorizar y controlar los equipos de las víctimas.
Por tanto, DcRAT se presenta como una herramienta de acceso, con capacidades de robo de información y ransomware que se distribuye activamente utilizando como señuelo el acceso gratuito a contenido prémium de OnlyFans.
Lee también: La ONU recluta a «Los Pitufos»: Sepa con qué motivo
Archivos ZIP
En concreto, insta a las víctimas a descargar achivos ZIP que presuntamente contienen vídeos sexuales de carácter gratuito pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.
Este cargador es una versión modificada de un script de impresión de Windows detectado en otra campaña maliciosa de 2021 y, además de capacidades básicas de ransomware -registro de teclas, acceso remoto al sistema manipulación de archivos y control de la cámara web- también puede robar ‘cookies’ de navegación y tokens de Discord.
Una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI), extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado. Concretamente, con Regsvr32.exe.
Esto le da acceso al malware a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil -BinaryData- se carga en la memoria.
Lea también ¡Impresionante! Rescatan a serpiente de 15 kilos enroscada a un árbol (+Video)
Con información de DPA
Visita nuestra sección: Curiosidades
Para mantenerte informado y estar al tanto de todo lo que ocurre en el mundo y en el país, haz clic en el siguiente enlace. Sigue nuestro canal en Telegram https://t.me/Diario2001Online