Hacker truffano altri hacker con finti tool di OnlyFans: dati a rischio

Un recente attacco informatico scoperto da Veriti Research mostra come i criminali informatici possano diventare vittime di altri hacker. Un finto strumento legato a OnlyFans, che promette di aiutare a rubare account, in realtà infetta chi lo utilizza con il malware Lumma, progettato per rubare informazioni sensibili come password, cookie, codici di autenticazione a due fattori e portafogli di criptovalute.

OnlyFans, una popolare piattaforma di contenuti a pagamento, è spesso presa di mira da cybercriminali che cercano di impossessarsi degli account per rubare pagamenti dai fan, estorcere denaro ai creatori o divulgare contenuti privati.

Gli hacker utilizzano strumenti chiamati "checker" per verificare grandi quantità di credenziali rubate, confermando se siano associate ad account OnlyFans e se siano ancora valide. Senza questi strumenti automatizzati, verificare manualmente migliaia di coppie di nome utente e password sarebbe troppo laborioso e inefficiente.

Hacker vs Hacker

Tuttavia, in un ironico rovesciamento di ruoli, i creatori di questi tool possono essere altrettanto pericolosi quanto i cybercriminali che li usano. Veriti ha infatti scoperto un checker falso che, invece di eseguire le verifiche promesse, installa il malware Lumma nel sistema dell'hacker stesso. Questo strumento malevolo, chiamato "brtjgjsefd.exe", viene scaricato da un repository GitHub e avvia il processo di infezione.

Lumma è un sofisticato malware disponibile come servizio (MaaS), affittato dai cybercriminali dal 2022 a prezzi variabili tra i 250 e i 1000 dollari al mese. Questo malware è distribuito attraverso diversi canali, tra cui malvertising, commenti su YouTube e persino GitHub. È specializzato nel rubare dati sensibili memorizzati nei browser, inclusi codici di autenticazione, portafogli digitali e credenziali bancarie, e può caricare ulteriori payload o eseguire script dannosi tramite PowerShell.

L'operazione di inganno è più ampia: lo stesso GitHub che distribuisce il falso checker di OnlyFans contiene eseguibili che prendono di mira hacker interessati a rubare account Disney+, Instagram e persino a creare botnet. Questo tipo di attacchi, dove i criminali si colpiscono a vicenda, non è raro. Già in passato sono stati rilevati casi simili, con malware progettati per derubare altri hacker di criptovalute o dati sensibili.