Хакеры становятся жертвами: фейковый инструмент для проверки аккаунтов на OnlyFans заражает их самих вредоносным ПО

Хакеры нацелились на других хакеров, распространяя ложный инструмент для взлома учетных записей OnlyFans, который вместо этого заражает самих злоумышленников вредоносным программным обеспечением для кражи данных под названием Lumma Stealer.

Как выяснили исследователи из Veriti, эта схема является классическим примером размытых границ между хищником и жертвой в мире киберпреступности, где ироничные повороты и предательства случаются постоянно.

«Проверка» краденных аккаунтов

OnlyFans — это чрезвычайно популярная платформа для размещения контента на основе подписки, где авторы могут зарабатывать деньги от пользователей (так называемых «фанатов»), которые платят за доступ к их контенту.

Авторы могут делиться видео, изображениями, сообщениями и проводить прямые трансляции для своих подписчиков, в то время как пользователи платят либо за регулярную подписку, либо единоразовые платежи за эксклюзивный контент.

Из-за своей популярности учётные записи OnlyFans часто становятся мишенью для злоумышленников, которые пытаются их захватить, чтобы украсть деньги фанатов, шантажировать владельцев аккаунтов ради выкупа или просто распространять личные фотографии.

Специальные программы-чекеры созданы для того, чтобы помочь хакерам проверить большие массивы украденных учётных данных (логины и пароли), определяя, какие из них соответствуют действующим аккаунтам на OnlyFans.

Без таких инструментов киберпреступникам пришлось бы вручную проверять тысячи комбинаций логинов и паролей, что было бы крайне неэффективным и практически невозможным процессом.

Однако подобные инструменты создаются самими же киберпреступниками, что заставляет их коллег доверять в безопасности таких программ. Иногда это доверие оборачивается против них.

Исследователи из Veriti обнаружили случай, когда инструмент для проверки учётных данных OnlyFans обещал подтвердить доступы, проверить балансы, способы оплаты и привилегии создателей контента, но на деле устанавливал вредоносное ПО Lumma, крадущее информацию.

Файл с вредоносной программой под именем «brtjgjsefd.exe» загружается с репозитория на GitHub и устанавливается на компьютер жертвы.

Lumma — это программа для кражи информации, предоставляемая в формате «вредоносное ПО как услуга» (MaaS), которую с 2022 года арендуют киберпреступники за $250-$1000 в месяц. Она распространяется через разные каналы, включая рекламные кампании, комментарии на YouTube, торрент-файлы и, как показало последнее исследование, комментарии на GitHub.

Этот инструмент известен своей способностью красть двухфакторные коды аутентификации, криптовалютные кошельки, пароли, куки-файлы и данные кредитных карт, сохранённые в браузерах жертв. Кроме того, Lumma может загружать на систему дополнительные вредоносные файлы и выполнять PowerShell-скрипты.

Масштабная операция по обману

Специалисты Veriti выяснили, что после запуска вредоносный файл Lumma Stealer подключается к аккаунту на GitHub под именем «UserBesty», который злоумышленники используют для размещения других вредоносных программ.

В репозитории GitHub исследователи обнаружили исполняемые файлы, замаскированные под чекеры для учётных записей Disney+, Instagram* и даже якобы под инструмент для создания ботнета Mirai:

• Воров учётных записей Disney+ заманивают программой «DisneyChecker.exe».
• Хакеров, нацеленных на Instagram*, — файлом «InstaCheck.exe».
• Тех, кто пытается создать ботнет, — программой «ccMirai.exe».

Исследуя коммуникации вредоносной программы, специалисты из Veriti обнаружили несколько доменов с расширением «.shop», которые использовались как серверы управления и контроля (C2) для отправки команд программе Lumma и получения похищенных данных.

Человек человеку волк

Эта кампания — не первый случай, когда хакеры атакуют других киберпреступников. В марте 2022 года злоумышленники нацелились на своих коллег, распространяя вредоносные программы для кражи содержимого буфера обмена, маскируясь под взломанные инструменты удалённого доступа (RAT) и инструменты для создания вредоносного ПО, чтобы похитить криптовалюту.

Позже в том же году разработчик вредоносного ПО добавил в свою программу бэкдор, чтобы похищать учётные данные, криптовалютные кошельки и данные VPN-аккаунтов у других хакеров.

Когда ты сможешь обмануть других, не забывай, что в любой момент сам можешь стать следующей жертвой.

Ещё по теме:

• 10 000 подписчиков: РКН рассказал, что нужно сделать владельцам страниц и каналов в соцсетях
• Открытие Apple Store в Швеции может намекать на дату выхода iPhone 16
• Звезда «Мистического квеста» намекнул на четвёртый сезон