A recente descoberta da Veriti Research revela uma intrincada trama cibercriminosa onde hackers estão a ser enganados por uma ferramenta falsa do OnlyFans, alegadamente desenvolvida para roubar contas, mas que, na realidade, infecta os criminosos com o temido malware Lumma.

A operação destaca um fascinante exemplo das fronteiras borradas entre predadores e presas no mundo do cibercrime, onde os reveses e traições são uma constante.

A Verdadeira Face da Infecção Lumma

OnlyFans é uma plataforma de conteúdos adultos baseada em subscrição, extremamente popular, onde criadores ganham dinheiro através de utilizadores (denominados “fãs”) que pagam pelo acesso aos seus conteúdos. Os criadores têm a liberdade de partilhar vídeos, imagens, mensagens e transmissões ao vivo com os seus subscritores, enquanto estes pagam uma taxa recorrente ou um pagamento único para obter acesso ao conteúdo exclusivo.

Devido à sua popularidade, as contas do OnlyFans tornam-se frequentemente alvo de criminosos que tentam sequestrá-las para roubar pagamentos dos fãs, extorquir o proprietário da conta exigindo um resgate ou, simplesmente, vazar fotos privadas.

Ferramentas de verificação são criadas para validar grandes conjuntos de credenciais roubadas (nomes de utilizador e palavras-passe), verificando se os detalhes de login correspondem a contas do OnlyFans e se ainda são válidos. Sem estas ferramentas, os cibercriminosos teriam de testar manualmente milhares de pares de credenciais, um processo impraticável e tedioso.

No entanto, estas ferramentas são frequentemente criadas por outros criminosos cibernéticos, levando a que os hackers confiem nelas como seguras, embora, por vezes, isso acabe por lhes sair caro.

O payload, denominado “brtjgjsefd.exe”, é obtido a partir de um repositório GitHub e carregado no computador da vítima.

O Lumma é um malware de roubo de informações como serviço (MaaS) que tem sido alugado a cibercriminosos desde 2022 por valores que variam entre $250 e $1000 por mês, sendo distribuído através de diversos meios, incluindo malvertising, comentários no YouTube, torrents e, mais recentemente, comentários no GitHub.

Este é um avançado stealer de informações com mecanismos inovadores de evasão e a capacidade de restaurar tokens de sessão do Google expirados. É amplamente conhecido por roubar códigos de autenticação de dois fatores, carteiras de criptomoeda e passwords, cookies e cartões de crédito armazenados no navegador e no sistema de ficheiros da vítima.

Além disso, o Lumma também funciona como um loader, capaz de introduzir payloads adicionais no sistema comprometido e executar scripts PowerShell.

Uma Operação de Engano Mais Abrangente

Veriti descobriu que, quando o payload Lumma é iniciado, ele se conecta a uma conta GitHub sob o nome “UserBesty”, que o cibercriminoso por trás desta campanha utiliza para hospedar outros payloads maliciosos.

Especificamente, o repositório GitHub contém executáveis que imitam verificadores de contas do Disney+, Instagram e um suposto construtor de botnet Mirai:

• Ladrões de contas Disney+ são atraídos por “DisneyChecker.exe”
• Hackers do Instagram são seduzidos por “InstaCheck.exe”
• Criadores de botnets são iludidos por “ccMirai.exe”

Ao aprofundar a investigação nas comunicações do malware, os investigadores da Veriti encontraram um conjunto de domínios “.shop” que atuam como servidores de comando e controle (C2), enviando comandos para o Lumma e recebendo os dados exfiltrados.

Esta campanha não é a primeira vez que cibercriminosos se tornam alvos de ataques maliciosos entre si. Em março de 2022, hackers atacaram outros hackers com stealer de clipboard disfarçados de RATs crackeados e ferramentas de construção de malware para roubar criptomoeda. Mais tarde, no mesmo ano, um desenvolvedor de malware comprometeu o seu próprio malware para roubar credenciais, carteiras de criptomoeda e dados de contas VPN de outros hackers.