www.zonamovilidad.es
miércoles 21 de junio de 2023, 15:44h

Escucha la noticia

Los ciberdelincuentes han encontrado una nueva forma de cazar a sus víctimas. Su nueva táctica se basa en distribuir malware disfrazado de archivos ZIP utilizando contenido explícito de la página web OnlyFans.

Para quien no lo sepa, en OnlyFans se puede compartir cualquier tipo de contenido bajo suscripción, además, es posible monetizar contenido multimedia como audios con textos. Respecto al tiempo de la suscripción en España, se trata de 50 euros mensuales.

Ahora, investigadores de eSentire han avisado de una campaña de “malware” que consiste en instalar un troyano de acceso remoto, conocido como DcRAT con el que los ciberdelincuentes pueden robar información y credenciales, además de implementar ransomware en el dispositivo infectado.

Por otro lado, la Unidad de Respuesta de Amenazas (TRU) de eSentire, en mayo de 2023 se identificó este software malicioso, un clon de AsyncRAT. Se trata de una herramienta de acceso remoto (RAT) creado para monitorizar y tener el control de los dispositivos de las víctimas.

DCRAT se presenta como una herramienta de acceso remoto con funciones de robo de información y "ransomware", que se distribuye activamente utilizando la oferta de contenido premium gratuito de OnlyFans como cebo.

La seguridad mejora cuando los empleados son conscientes de los riesgos online

Leer más

El método de fraude consiste en instar a las víctimas a descargar archivos ZIP que presuntamente contienen videos sexuales gratuitos, pero en realidad, integran un cargador malicioso basado en un VBScript que se ejecuta manualmente. Este programa malicioso en realidad es una adaptación de un guion de impresión de Windows utilizado anteriormente en una campaña ilícita en 2021. Además de las funciones típicas de un "ransomware" (grabación de pulsaciones de teclado, acceso remoto al equipo, alteración de archivos y manejo de la cámara web), este sistema también tiene la capacidad de apoderarse de cookies de navegación y tokens de Discord.

Por parte de eSentire, explican que una vez que comienza la carga maliciosa, el troyano verifica la arquitectura del sistema operativo a través de Windows Management Instrumentation (WMI). A continuación, extrae una biblioteca de vínculos dinámicos (DLL) incrustada y la registra con el comando Regsvr32.exe.

Finalmente, el software malicioso logra entrar en DynamicWrapperX, un programa que permite llamar a funciones de la interfaz de programación de aplicaciones (API) de Windows o de otros archivos DLL. Por último, se introduce la carga útil, llamada BinaryData, en la memoria del equipo.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios