Hackers estão atacando outros hackers com uma falsa ferramenta do OnlyFans que promete ajudar a roubar contas, mas que, na verdade, infecta os agentes de ameaça com o malware de roubo de informações Lumma Stealer.
Essa operação, descoberta pela Veriti Research, exemplifica as finas linhas que separam predadores de presas no mundo do crime cibernético, onde reviravoltas irônicas e traições são comuns.
Lumma Stealer: O Golpe do "Check-in"
OnlyFans é uma popular plataforma de conteúdo adulto por assinatura, onde criadores podem monetizar seu conteúdo por meio de assinaturas pagas por seus usuários, conhecidos como "fãs". Os criadores compartilham vídeos, imagens, mensagens e transmissões ao vivo, cobrando taxas recorrentes ou pagamentos únicos por conteúdo exclusivo.
Dado o seu sucesso, contas do OnlyFans frequentemente se tornam alvo de agentes de ameaça que tentam sequestrá-las para roubar pagamentos, extorquir os donos ou vazar fotos privadas.
Ferramentas de verificação são comumente utilizadas por esses criminosos para validar grandes conjuntos de credenciais de login roubadas, verificando se os dados de acesso ainda são válidos e estão associados a contas reais. Sem essas ferramentas, os hackers teriam que testar manualmente milhares de credenciais, um processo impraticável e demorado.
Entretanto, muitas dessas ferramentas são criadas por outros cibercriminosos, e os hackers que confiam nelas frequentemente se veem traídos. A Veriti identificou um caso em que um verificador de credenciais do OnlyFans, que prometia analisar saldos de contas, métodos de pagamento e privilégios dos criadores, na verdade instalava o malware Lumma Stealer.
A carga maliciosa, nomeada “brtjgjsefd.exe”, é baixada de um repositório do GitHub e executada no computador da vítima.
Lumma é um "malware como serviço" (MaaS) de roubo de informações, disponível para aluguel desde 2022 por valores entre US$ 250 e US$ 1000 mensais. Ele é distribuído por diversos meios, incluindo anúncios maliciosos, comentários no YouTube, torrents e, mais recentemente, comentários no GitHub.
Trata-se de um malware sofisticado, com mecanismos avançados de evasão e a capacidade de restaurar tokens de sessão expirados do Google. É conhecido por roubar códigos de autenticação de dois fatores, carteiras de criptomoedas, senhas, cookies e cartões de crédito armazenados no navegador e no sistema de arquivos da vítima.
O Lumma também atua como um carregador de cargas adicionais, capaz de injetar mais malware no sistema comprometido e executar scripts PowerShell.
A Veriti descobriu que, quando o Lumma Stealer é executado, ele se conecta a uma conta do GitHub com o nome “UserBesty”, usada pelo criminoso para hospedar outras cargas maliciosas.
No repositório do GitHub, há executáveis que simulam ser verificadores de contas do Disney+, Instagram, além de um suposto construtor de botnets Mirai:
"DisneyChecker.exe" direcionado a ladrões de contas do Disney+.
"InstaCheck.exe" visando hackers de Instagram.
"ccMirai.exe" para aqueles que desejam criar botnets.
Analisando as comunicações do malware, os pesquisadores da Veriti identificaram um conjunto de domínios ".shop" que funcionam como servidores de comando e controle (C2), enviando comandos ao Lumma e recebendo dados roubados.
Este não é o primeiro caso em que hackers atacam outros hackers. Em março de 2022, hackers atacaram outros hackers com ladrões de pranchetas disfarçados de RATs crackeados e ferramentas de criação de malware para roubar criptomoedas. Mais tarde, naquele ano, um desenvolvedor inseriu uma backdoor em seu próprio malware para roubar credenciais, carteiras de criptomoedas e dados de VPN de outros criminosos.
Via - BC
Comments