Índice de contenidos
Ciberdelincuentes utilizan contenido explícito para distribuir malware a través de OnlyFans
La popular plataforma OnlyFans, conocida por ser una red social en la que se puede compartir contenido de todo tipo bajo suscripción, se ha convertido en el señuelo perfecto para ciberdelincuentes que buscan distribuir malware. Estos aprovechan la atracción que genera el contenido explícito para engañar a los usuarios y comprometer sus dispositivos.
Investigadores de eSentire, una reconocida empresa de soluciones de ciberseguridad, han advertido sobre una campaña de malware que utiliza archivos ZIP como vehículo de infección. Estos archivos, que supuestamente contienen fotografías y videos gratuitos de OnlyFans, en realidad están cargados de un troyano de acceso remoto conocido como DcRAT.
El peligroso DcRAT y sus capacidades para robar información y ejecutar ransomware
DcRAT, una variante del conocido AsyncRAT, es capaz de robar información sensible y credenciales de los dispositivos infectados, además de implementar ransomware para extorsionar a las víctimas. La aparición de esta amenaza se remonta a mayo de 2023, y desde entonces ha estado distribuyéndose activamente, aprovechando la tentadora oferta de contenido gratuito de OnlyFans.
El engaño funciona de la siguiente manera: los ciberdelincuentes incitan a los usuarios a descargar los archivos ZIP que supuestamente contienen material sexual explícito. Sin embargo, en lugar de encontrar lo prometido, se encontrarán con un cargador malicioso que se ejecuta manualmente. Este cargador en realidad es una versión modificada de un script de impresión de Windows y brinda al troyano DcRAT la capacidad de controlar el dispositivo infectado.
Un cargador capaz de robar información y tomar el control del dispositivo
Una vez que se inicia la carga maliciosa, el troyano DcRAT realiza una serie de acciones. En primer lugar, verifica la arquitectura del sistema operativo y extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado. A continuación, registra esta biblioteca y obtiene acceso a DynamicWrapperX, una herramienta que le permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL.
Una vez que el troyano ha ganado acceso a DynamicWrapperX, carga su carga útil en la memoria del dispositivo. Esta carga útil, conocida como BinaryData, le proporciona al malware todas las capacidades necesarias para robar información confidencial, como registros de teclas, acceso remoto al sistema, manipulación de archivos y control de la cámara web. Además, también puede robar cookies de navegación y tokens de Discord, una popular plataforma de chat y comunicación.
Ante esta creciente amenaza, es fundamental que los usuarios de OnlyFans extremen sus precauciones al descargar contenido, especialmente si proviene de fuentes sospechosas. Además, se recomienda mantener actualizados los sistemas operativos y utilizar soluciones de seguridad confiables para protegerse de posibles ataques.
Con información de medios
