Noticias

Contenido “gratuito” de OnlyFans puede ser un virus que roba tu información

El enlace invita a las víctimas a descargar archivos ZIP que presuntamente contienen vídeos gratuitos pero que, en realidad, integran un archivo malicioso

Ciberdelincuentes están distribuyendo ‘malware’ a través de archivos ZIP utilizando como señuelo contenido explícito (como fotografías y vídeos) y de carácter gratuito de la página OnlyFans.

OnlyFans es una red social en la que se puede compartir todo tipo de contenidos bajo suscripción y que permite monetizar tanto contenido multimedia como audios con textos. El precio de suscripción varía de acuerdo al país y contenido, pero el rango está entre 100 y 940 pesos (5.45 a unos 54.50 dólares) mensuales.

Publicidad

Te recomendamos: La “sextorsión”; el nuevo peligro de internet, crean imágenes y videos sexuales con IA

Investigadores de eSentire advirtieron de una campaña de ‘malware’ que instala un troyano de acceso remoto conocido como DcRAT, que permite a los actores de amenazas robar información y credenciales, así como implementar ‘ransomware’ del dispositivo infectado.

Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, fue en mayo de 2023 cuando se identificó este ‘software’ malicioso, que resulta ser un clon de AsyncRAT, una herramienta de acceso remoto (RAT) diseñada para monitorizar y controlar los equipos de las víctimas.

DcRAT, por tanto, se presenta como una herramienta de acceso remoto con capacidades de robo de información y ‘ransomware’ que se distribuye activamente utilizando como señuelo el acceso gratuito a contenido prémium de OnlyFans.


En concreto, invita a las víctimas a descargar archivos ZIP que presuntamente contienen vídeos de carácter gratuito pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.

Este cargador es una versión modificada de un ‘script’ de impresión de Windows detectado en otra campaña maliciosa de 2021 y, además de capacidades básicas de ‘ransomware’ como el registro de teclas, acceso remoto al sistema, manipulación de archivos y control de la cámara web. También puede robar ‘cookies’ de navegación y tokens de Discord.

Desde eSentire puntualizan que, una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI), extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado, concretamente, con Regsvr32.exe.

Checa esto: Rosalía desafía la censura de redes sociales con una foto hot en bikini y topless

Esto le da acceso al malware a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil (BinaryData) se carga en la memoria.


Síguenos en Google News:Google News

Contenido Patrocinado

Lo Último