Сложная вредоносная операция, известная как “Steal-It”, нацелена на конкретных жертв в Австралии с использованием откровенных изображений моделей с платформы OnlyFans в качестве приманки. Об этом сообщается в недавнем отчёте исследователей Zscaler.
Согласно исследованию, за кибератакой, вероятней всего, стоит группировка APT28, также известная как Fancy Bear. Эта группа прославилась своим вмешательством в американские выборы в 2016 году.
Вредоносная кампания “Steal-It”, рассмотренная в Zscaler, включает несколько различных вариаций, которые отличаются по используемым инструментам и конечным целям.
Первоначальная фаза зловредной операции с OnlyFans-приманкой начинается со скачивания жертвой ZIP-архива с названием “best_tits.zip”, внутри которого содержится вредоносный ярлык “onlyfans.com-1.lnk”.
После выполнения вредоносный LNK-файл запускает команду, которая открывает браузер Microsoft Edge с определённым аргументом в кодировке base64. Этот аргумент представляет собой однострочный JavaScript-код, перенаправляющий жертву на сайт злоумышленников, также содержащий вредоносный код.
Чтобы скрыть вредоносное перенаправление, зловредная команда также открывает настоящий веб-сайт OnlyFans на другой вкладке и приостанавливает выполнение скрипта на 9 секунд.
После небольшой паузы, открытый на фоновой странице JavaScipt-код проводит ряд проверок и начинает выполнение зловредных действий. Так, если операционная система жертвы – Windows, а страна его местоположения – Австралия, код инициирует скачивание ещё одного вредоносного ярлыка с именем “m8.lnk”, который сразу же запускается и помещается в папку автозагрузки Windows для установления постоянства.
Код в свежескачанном ярлыке скрытно собирает системную информацию о компьютере жертвы и пересылает её злоумышленникам с помощью API легитимного инструмента Mockbin, попутно удаляя следы своей работы из целевой системы.
Цепочка заражения
Вредоносные кампании, использующие откровенный контент для приманки пользователей, – весьма хитрый и циничный способ манипулирования людьми. Хотя любопытство человеческой натуры можно понять, важно проявлять осторожность и не попадаться на подобные уловки.
Киберпреступники часто эксплуатируют наши слабости, но мы не должны идти у них на поводу. Будьте бдительны и думайте о последствиях, прежде чем открывать подозрительные файлы. В конце концов, наша безопасность в Интернете зависит в первую очередь от нас самих.