Los delincuentes informáticos están atacando a otros delincuentes con una herramienta falsa de OnlyFans que pretende ayudar a robar cuentas, pero en su lugar los infecta con el malware de robo de información Lumma Stealer.

La operación, descubierta por Veriti Research, constituye un ejemplo característico de las líneas borrosas entre ser un depredador o una presa en el mundo del cibercrimen, donde abundan los giros irónicos y las puñaladas por la espalda.

OnlyFans es una plataforma de contenido para adultos basada en suscripción extremadamente popular donde los creadores pueden ganar dinero de los usuarios (denominados "fans") que pagan por el acceso a su contenido. Los creadores pueden compartir videos, imágenes, mensajes y transmisiones en vivo con sus suscriptores, mientras que los suscriptores pagan una tarifa recurrente o pagos únicos por contenido exclusivo.

El payload, llamado "brtjgjsefd.exe", se obtiene de un repositorio de GitHub y se carga en la computadora de la víctima.

Lumma es un malware como servicio (MaaS) que roba información y que se alquila a los cibercriminales desde 2022 por entre 250 y 1.000 dólares al mes y se distribuye a través de varios medios, incluidos anuncios maliciosos, comentarios de YouTube, torrents y, más recientemente, comentarios de GitHub.

El malware permite a los ataques robar datos de navegadores web y aplicaciones que se ejecutan en Windows 7-11, incluidas contraseñas, cookies, tarjetas de crédito e información de billeteras de criptomonedas.

La familia de malware estuvo disponible para su compra en foros de ciberdelincuencia por primera vez en diciembre de 2022 y, unos meses después, KELA informó que ya había comenzado a volverse popular en la comunidad de delincuentes.

Lumma es un ladrón de información avanzado con mecanismos de evasión innovadores y la capacidad de restaurar tokens de sesión de Google vencidos. Es conocido principalmente por robar códigos de autenticación de dos factores, billeteras de criptomonedas y contraseñas, cookies y tarjetas de crédito almacenadas en el navegador y el sistema de archivos de la víctima.

Lumma también funciona como un cargador, capaz de introducir payloads adicionales en el sistema comprometido y ejecutar scripts de PowerShell.

Veriti descubrió que cuando se lanza el payload de Lumma Stealer, este se conecta a una cuenta de GitHub con el nombre "UserBesty", que el cibercriminal detrás de esta campaña usa para alojar otros payloads maliciosos.

Dada su popularidad, las cuentas de OnlyFans a menudo se convierten en objetivos de los actores de amenazas que intentan secuestrarlas para robar los pagos de los fanáticos, extorsionar al propietario de la cuenta para que pague un rescate o simplemente filtrar fotos privadas.

Las herramientas de verificación están diseñadas para ayudar a validar grandes conjuntos de credenciales de inicio de sesión robadas (nombres de usuario y contraseñas), verificando si los detalles de inicio de sesión coinciden con alguna cuenta de OnlyFans y si aún son válidos.

Sin esas herramientas, los cibercriminales tendrían que probar manualmente miles de pares de credenciales, un proceso poco práctico y tedioso que haría que el esquema no fuera viable.

Sin embargo, estas herramientas son creadas comúnmente por otros cibercriminales, lo que hace que los delincuentes informáticos confíen en que son seguras de usar y, en algunos casos, esto resulta contraproducente.

Veriti descubrió un caso de un verificador de OnlyFans que prometía verificar credenciales, verificar saldos de cuentas, verificar métodos de pago y determinar privilegios de creadores, pero en su lugar instaló el malware Lumma que roba información.

En concreto, el repositorio de GitHub contiene ejecutables que se parecen a comprobadores de cuentas de Disney+, Instagram y un supuesto creador de botnets Mirai:

• Los ladrones de cuentas de Disney+ son atacados con "DisneyChecker.exe"
• Los delincuentes de Instagram son atraídos por "InstaCheck.exe"
• Los aspirantes a creadores de botnets son atraídos con "ccMirai.exe"

Al investigar más a fondo las comunicaciones del malware, los investigadores de Veriti encontraron un conjunto de dominios ".shop" que actuaban como servidores de comando y control (C2), enviando comandos a Lumma y recibiendo los datos exfiltrados.

Esta campaña no es la primera vez que los actores de amenazas han atacado a otros ciberdelincuentes en ataques maliciosos.

En marzo de 2022, los delincuentes informáticos atacaron a otros con aplicaciones que permiten robar el portapapeles disfrazados de RAT pirateados y herramientas de creación de malware para robar criptomonedas.

Más tarde ese año, un desarrollador de malware introdujo una puerta trasera a su propio malware para robar credenciales, carteras de criptomonedas y datos de cuentas VPN de otros piratas informáticos.

Fuente: BC