虚假的OnlyFans内容引诱用户安装恶意软件

面向成人的订阅服务OnlyFans遭到了新的恶意软件活动的攻击，该活动利用虚假内容通过远程访问木马(RAT)感染用户的设备。

安全公司eSentire发现了这一行动，该行动自今年年初以来一直在进行。分发的ZIP文件包含VBScript加载程序，当用户认为自己可以访问高级OnlyFans内容时，他们会无意中激活该加载程序。

目前尚不清楚引诱受害者的最初攻击媒介是什么，但有建议称它可能是论坛帖子、即时消息、恶意广告链接或在某些术语的搜索结果中排名靠前的黑色SEO网站。

直流RAT

OnlyFans品牌之前曾被威胁行为者使用过，包括在2023年1月，黑客滥用英国政府官方网站上的开放重定向链接，将用户引导至该网站的假版本。

在这次新的活动中，有效负载被称为DcRAT，它是GitHub上免费提供的AsyncRAT的修改版本，尽管作者在被滥用后已经放弃了。

当VBScript加载程序被激活时，它会提取并注册“dynwrapx.dll”，该文件授予对DynamicWrapperX的访问权限，从而允许从WindowsAPI和其他DLL调用函数。

然后，名为“BinaryData”的东西被加载到“RegAsm.exe”(.NETFramework的合法进程部分)中，这意味着它不太可能被防病毒软件标记。这就是DCRAT的交付方式。

然后，DcRAT可以执行各种恶意操作，包括键盘记录、监控网络摄像头、操纵文件、窃取凭据和浏览器cookie以及远程访问您的设备。

它还包含一个勒索软件插件，该插件会影响所有非系统文件，并使用.DcRAT文件扩展名对其进行加密，使用户在没有解密密钥的情况下无法访问它们，威胁行为者将要求您勒索赎金。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！