Egyes hackerek más hackereket céloznak meg egy hamis OnlyFans eszközzel, amely elvileg segít a fiókok ellopásában, azonban ehelyett megfertőzi a potenciális támadókat a Lumma Stealer malware-rel.
Az OnlyFans egy rendkívül népszerű, előfizetéses rendszerben működő, felnőtteknek szóló platform, ahol az alkotók pénzt kérhetnek azoktól a felhasználóktól (a továbbiakban: “rajongók”), akik hozzá szeretnének férni a tartalmaikhoz (videókhoz, képekhez, üzenetekhez és élő közvetítésekhez).
Az oldal népszerűségének köszönhetően, az OnlyFans fiókok gyakran válnak a hackerek célpontjává.
A Lumma egy fejlett információlopó malware-as-a-service (MaaS) szolgáltatás, melyet a kiberbűnözők különféle eszközökkel terjesztenek, például malwarekkel, YouTube kommentekkel, torrent oldalakon keresztül és újabban a GitHub kommentszekcióiban is.
Az ellenőrző eszközök célja az ellopott bejelentkezési adatok (felhasználónevek és jelszavak) hatalmas készleteinek ellenőrzése. Működése során ellenőrzi, hogy a bejelentkezési adatok egyeznek-e valamelyik OnlyFans fiókkal, illetve még érvényesek-e. Ezen eszközök nélkül a kiberbűnözőknek manuálisan kellene tesztelniük több ezer hitelesítő adatpárt. Azonban mivel ezeket az eszközöket is hackerek hozzák létre, így bíznak abban, hogy biztonságosan használhatóak.
A Veriti felfedezett egy olyan esetet, amikor egy OnlyFans ellenőrző programnak leírása alapján vizsgálnia kellett volna a hitelesítő adatokat, a számlaegyenlegeket, a fizetési módokat és jogosultságokat, de ehelyett telepítette a Lumma Stealer malware-t.
1. ábra Egy hacker ellenőrző hirdetése egy hackerfórumon forrás: Veriti
A futtatás során egy GitHub adattárból kérik le és töltik be az áldozat számítógépébe a “brtjgjsefd.exe” nevű fájlt. A Veriti megállapította, hogy amikor a Lumma Stealer fut, a program “UserBesty” néven csatlakozik egy GitHub fiókhoz.
2. ábra Rosszindulatú GitHub repository forrás: Veriti
A GitHub repository olyan végrehajtható fájlokat tartalmaz, amelyek hasonlítanak a Disney+ fiókok és az Instagram ellenőrző eszközeire, illetve egy feltételezett Mirai botnet készítőre is:
• a Disney+ fióktolvajokat a “DisneyChecker[.]exe”–vel,
• az Instagram hackereket a “InstaCheck[.]exe”–vel,
• A Wannabe botnet alkotóit pedig a “ccMirai[.]exe”-vel célozzák meg.
A malwarek kommunikációjában elmélyülve, a Veriti kutatói olyan “[.]shop” domaineket találtak, amelyek parancs- és vezérlőszerverként (C2) működtek, parancsokat küldve a Lummának, és fogadva a kiszűrt adatokat.