Des pirates utilisent de fausses photos OnlyFans pour voler toutes vos données

Des pirates ont conçu une nouvelle campagne de logiciels malveillants qui exploite la popularité du service d'abonnement à des contenus pour adultes OnlyFans pour déployer un dangereux cheval de Troie d'accès à distance (RAT) connu sous le nom de “DcRAT”.

OnlyFans, la plateforme où les abonnés paient pour avoir un accès exclusif à des photos, des vidéos et des messages intimes de mannequins adultes, de célébrités et d'influenceurs des médias sociaux, vient d’être détournée par un groupe de pirates. Ceux-ci font croire à leurs victimes qu’ils peuvent télécharger gratuitement des images normalement payantes, mais installent en fait un malware.

Ce dernier permettrait aux cybercriminels de s'emparer de données sensibles et d'informations d'identification des utilisateurs, et même de lancer un ransomware sur les appareils compromis.

Lire également – Ce groupe de pirates est capable de voler vos sauvegardes WhatsApp, voici comment

Les utilisateurs d’OnlyFans sont la cible d’un nouveau malware

La campagne récente, découverte par la société de cybersécurité eSentire, est active depuis janvier 2023. Elle consiste à diffuser des fichiers ZIP contenant un chargeur VBScript. Les victimes sont trompées et exécutent manuellement ces fichiers, croyant accéder aux collections premium d'OnlyFans.

La méthode exacte de propagation de ce logiciel malveillant est encore inconnue, mais les chercheurs soupçonnent que les pirates utilisent divers vecteurs tels que des messages malveillants sur des forums, des messages instantanés, de la publicité malveillante ou l'utilisation de sites Black SEO qui sont bien classés pour des termes de recherche spécifiques. Par exemple, un échantillon analysé par Eclypsium se faisait passer pour des photos explicites de l'ancienne actrice de films pour adultes Mia Khalifa.

La charge utile téléchargée par les victimes, nommée DcRAT, est dotée d'un éventail de fonctionnalités malveillantes, notamment l'enregistrement des frappes, la surveillance des webcams, la manipulation des fichiers et l'accès à distance. En outre, il peut dérober des informations sensibles, telles que les identifiants et les cookies des navigateurs web, ainsi que les jetons Discord. De plus, DcRAT intègre un plugin de ransomware capable de crypter les fichiers non-système et d'y ajouter l'extension “.DcRat”, rendant les données inaccessibles jusqu'au paiement d'une rançon.

Ce n'est pas la première fois que des acteurs malveillants profitent de l'attrait d'OnlyFans pour atteindre leurs objectifs. En janvier 2023, des attaquants ont exploité une vulnérabilité de redirection ouverte sur un site web de l'État britannique, redirigeant les visiteurs peu méfiants vers des sites OnlyFans contrefaits.