A recente descoberta da Veriti Research revela uma intrincada trama cibercriminosa onde hackers estão a ser enganados por uma ferramenta falsa do OnlyFans, alegadamente desenvolvida para roubar contas, mas que, na realidade, infecta os criminosos com o temido malware Lumma.
A operação destaca um fascinante exemplo das fronteiras borradas entre predadores e presas no mundo do cibercrime, onde os reveses e traições são uma constante.
A Verdadeira Face da Infecção Lumma
OnlyFans é uma plataforma de conteúdos adultos baseada em subscrição, extremamente popular, onde criadores ganham dinheiro através de utilizadores (denominados “fãs”) que pagam pelo acesso aos seus conteúdos. Os criadores têm a liberdade de partilhar vídeos, imagens, mensagens e transmissões ao vivo com os seus subscritores, enquanto estes pagam uma taxa recorrente ou um pagamento único para obter acesso ao conteúdo exclusivo.
Devido à sua popularidade, as contas do OnlyFans tornam-se frequentemente alvo de criminosos que tentam sequestrá-las para roubar pagamentos dos fãs, extorquir o proprietário da conta exigindo um resgate ou, simplesmente, vazar fotos privadas.
Ferramentas de verificação são criadas para validar grandes conjuntos de credenciais roubadas (nomes de utilizador e palavras-passe), verificando se os detalhes de login correspondem a contas do OnlyFans e se ainda são válidos. Sem estas ferramentas, os cibercriminosos teriam de testar manualmente milhares de pares de credenciais, um processo impraticável e tedioso.
No entanto, estas ferramentas são frequentemente criadas por outros criminosos cibernéticos, levando a que os hackers confiem nelas como seguras, embora, por vezes, isso acabe por lhes sair caro.
Veriti descobriu um caso de um verificador do OnlyFans que prometia validar credenciais, verificar saldos de contas, métodos de pagamento e privilégios de criadores, mas que, em vez disso, instalava o malware Lumma.
O payload, denominado “brtjgjsefd.exe”, é obtido a partir de um repositório GitHub e carregado no computador da vítima.
O Lumma é um malware de roubo de informações como serviço (MaaS) que tem sido alugado a cibercriminosos desde 2022 por valores que variam entre $250 e $1000 por mês, sendo distribuído através de diversos meios, incluindo malvertising, comentários no YouTube, torrents e, mais recentemente, comentários no GitHub.
Este é um avançado stealer de informações com mecanismos inovadores de evasão e a capacidade de restaurar tokens de sessão do Google expirados. É amplamente conhecido por roubar códigos de autenticação de dois fatores, carteiras de criptomoeda e passwords, cookies e cartões de crédito armazenados no navegador e no sistema de ficheiros da vítima.
Além disso, o Lumma também funciona como um loader, capaz de introduzir payloads adicionais no sistema comprometido e executar scripts PowerShell.
Uma Operação de Engano Mais Abrangente
Veriti descobriu que, quando o payload Lumma é iniciado, ele se conecta a uma conta GitHub sob o nome “UserBesty”, que o cibercriminoso por trás desta campanha utiliza para hospedar outros payloads maliciosos.
Especificamente, o repositório GitHub contém executáveis que imitam verificadores de contas do Disney+, Instagram e um suposto construtor de botnet Mirai:
- Ladrões de contas Disney+ são atraídos por “DisneyChecker.exe”
- Hackers do Instagram são seduzidos por “InstaCheck.exe”
- Criadores de botnets são iludidos por “ccMirai.exe”
Ao aprofundar a investigação nas comunicações do malware, os investigadores da Veriti encontraram um conjunto de domínios “.shop” que atuam como servidores de comando e controle (C2), enviando comandos para o Lumma e recebendo os dados exfiltrados.
Esta campanha não é a primeira vez que cibercriminosos se tornam alvos de ataques maliciosos entre si. Em março de 2022, hackers atacaram outros hackers com stealer de clipboard disfarçados de RATs crackeados e ferramentas de construção de malware para roubar criptomoeda. Mais tarde, no mesmo ano, um desenvolvedor de malware comprometeu o seu próprio malware para roubar credenciais, carteiras de criptomoeda e dados de contas VPN de outros hackers.