Ojo: supuesto contenido premium de OnlyFans gratuito sería un señuelo para robarlo

Ciberdelincuentes están distribuyendo ‘malware’ a través de archivos ZIP utilizando como señuelo contenido explícito (como fotografías y vídeos) y de carácter gratuito de la página web para adultos OnlyFans.

Cabe recordar que OnlyFans es una red social en la que se puede compartir todo tipo de contenidos bajo suscripción y que permite monetizar tanto contenido multimedia como audios con textos.

Ahora bien, investigadores de eSentire han advertido de una campaña de malware que instala un troyano de acceso remoto conocido como DcRAT, que permite a los actores de amenazas robar información y credenciales, así como implementar ransomware en el dispositivo infectado.

Según la Unidad de Respuesta de Amenazas (TRU) de eSentire, fue en mayo de 2023 cuando se identificó este software malicioso, que resulta ser un clon de AsyncRAT, una herramienta de acceso remoto (RAT) diseñada para monitorizar y controlar los equipos de las víctimas.

DcRAT, por tanto, se presenta como una herramienta de acceso remoto con capacidades de robo de información y ransomware que se distribuye activamente utilizando como señuelo el acceso gratuito a contenido prémium de OnlyFans.

En concreto, insta a las víctimas a descargar achivos ZIP que presuntamente contienen videos sexuales de carácter gratuito, pero que, en realidad, integran un cargador malicioso VBSscript que se ejecuta manualmente.

Este cargador, en realidad, es una versión modificada de un ‘script’ de impresión de Windows detectado en otra campaña maliciosa de 2021 y, además de capacidades básicas de ransomware -registro de teclas, acceso remoto al sistema, manipulación de archivos y control de la cámara web- también puede robar ‘cookies’ de navegación y ‘tokens’ de Discord.

Concretamente, desde eSentire puntualizan que, una vez se inicia la carga maliciosa, el troyano comprueba la arquitectura del sistema operativo mediante Windows Management Instrumentation (WMI), extrae una biblioteca de vínculos dinámicos o archivo DDL incrustado y lo registra con un comando determinado. Concretamente, con Regsvr32.exe.

Esto le da acceso al malware a DynamicWrappeX, una herramienta que permite llamar a funciones desde la interfaz de programación de aplicaciones (API) de Windows u otros archivos DLL. Finalmente, la carga útil -BinaryData- se instala en la memoria.

Tips para no caer en ‘softwares’ maliciosos

Uno de los métodos de infección más comunes es cuando el usuario acepta los términos y condiciones de una aplicación aparentemente confiable y que es usada como camuflaje de un virus informático. Posteriormente, cuando ya la persona está dentro del sistema, se ejecuta en segundo plano y se comienza a recopilar información, así como a analizar toda actividad mientras el usuario la está usando.

Sin embargo, existen varios tipos de spyware y formas en las que estos son capaces de inmiscuirse para tomar control de los teléfonos móviles.

También, otras formas que se consideran principales vías de infección son las apps fraudulentas, los mensajes de texto o correos electrónicos, los cuales pueden contener links o archivos adjuntos maliciosos que al abrirlos el spyware se instala inmediatamente en el dispositivo.

De igual manera, el sistema operativo puede convertirse en un peligro si no está actualizado con los últimos parches de seguridad porque el spyware puede aprovechar la desactualización para obtener acceso al dispositivo.

Otro factor importante es conectar un celular a una red wifi pública, estas generalmente son potencialmente peligrosas para la seguridad. Pues, al conectarse, existe el riesgo de que el spyware pueda interceptar la comunicación y obtener acceso al dispositivo.

*Con información de Europa Press.