Une campagne de malware exploite l'intérêt suscité par Onlyfans pour installer, sur l'appareil d'utilisateurs, un cheval de Troie permettant la récupération de données personnelles… voire plus.
Faire croire à des utilisateurs d'Onlyfans qu'ils pourront accéder gratuitement à un lot de contenus explicites, normalement payants, après l'ouverture d'un dossier compressé sur leur appareil. Pour faire court, c'est la ruse utilisée par des pirates pour installer en réalité un cheval de Troie sur les smartphones, tablettes ou PC des personnes dupées. Surnommé « DcRAT », ce malware permet ensuite un accès à distance dans l'optique de voler des identifiants, des données personnelles ou même de déployer un ransomware sur l'appareil infecté.
Une méthode vieille comme le monde…
Comme le souligne Bleeping Computer, cette campagne de malware a été découverte en premier par les chercheurs d'eSentire, et semble en cours depuis janvier 2023. Le mode opératoire est simple : partager des fichiers ZIP contenant un programme VBScript (un script d'impression Windows modifié à des fins malveillantes). Les victimes pensent télécharger puis ouvrir un dossier contenant des collections premium de contenus OnlyFans. En réalité, l'ouverture manuelle de ce fichier permet l'installation du malware DcRAT évoqué plus haut. L'appareil utilisé est alors infecté.
eSentire explique qu'à ce stade la chaîne d'infection est encore inconnue. Selon toute logique, les utilisateurs sont toutefois confrontés à ce fichier ZIP après une recherche par mots clés sur certains forums spécialisés ou simplement par messagerie instantanée.
Un exemple partagé par Eclypsium est par ailleurs assez évocateur, le fichier ZIP malveillant étant intitulé « IMG_Mia_Khalifa_Nuds_Phtos.zip ». Les utilisateurs bernés téléchargent et ouvrent alors ce fichier en pensant accéder à des photos explicites d'une ancienne actrice X, alors qu'il contient tout ce qu'il faut pour compromettre leur appareil pendant un bon moment.
Que se passe-t-il une fois le malware installé ?
Dans le détail, une fois VBScript exécuté, ce dernier « vérifie l'architecture du système d'exploitation à l'aide de WMI, puis lance un processus 32 bits comme requis pour les étapes suivantes. Il extrait ensuite un fichier DLL intégré ("dynwrapx.dll") et enregistre la DLL à l'aide de la commande Regsvr32.exe », explique Bleeping Computer.
« Le logiciel malveillant a ainsi accès à DynamicWrapperX, un outil qui permet d'appeler des fonctions de l'API Windows ou d'autres fichiers DLL. Enfin, la charge utile, nommée "BinaryData", est chargée en mémoire et injectée dans le processus "RegAsm.exe", une partie légitime du framework .NET moins susceptible d'être repérée par les outils AV », lit-on.
DcRAT, quant à lui, peut ensuite procéder à distance à l'enregistrement des touches du clavier, mais aussi à la surveillance de la webcam, à la manipulation de certains fichiers. Il peut également voler des informations d'identification, consulter vos cookies sur les navigateurs web ou s'emparer de tokens sur Discord… entre autres.
Source : Bleeping Computer
