Hacker contro hacker: il falso strumento per compromettere account OnlyFans nasconde un pericoloso malware

Hacker contro hacker: il falso strumento per compromettere account OnlyFans nasconde un pericoloso malware

Viene spacciato per uno strumento in grado di eseguire attacchi bruteforce per accedere ad account OnlyFans, ma in realtà è il pericoloso malware Lumma Stealer

di pubblicata il , alle 16:19 nel canale Sicurezza
OnlyFans
 

Ricordate la storia dei pifferi di montagna, che andarono per suonare e furono suonati? E' un po' quello che accade nella vicenda raccontata della società di sicurezza Veriti Research, che ha individuato un sedicente strumento per la compromissione di account OnlyFans ma che in realtà è un veicolo per la distribuzione del malware Lumma Stealer.

Il giro di affari attorno ad OnlyFans, la popolare piattaforma che propone ciò che tutti sappiamo, l'ha resa una preda particolarmente appetibile per i criminali informatici, e per varie ragioni. Gli account dei creator possono generare sostanziosi guadagni tramite contenuti esclusivi e rappresentano un obiettivo piuttosto ghiotto agli occhi dei criminali, così come la possibilità di perpetrare raggiri, ricatti e frodi sia ai danni dei creator, sia ai danni dei fan.

I criminali informatici si sono dotati di strumenti progettati per verificare la validità di grandi set di credenziali rubate, così da automatizzare un processo bruteforce contro account OnlyFans presi di mira ed evitare il test manuale di migliaia di combinazioni nome utente/password.

I ricercatori di Veriti Research hanno scoperto, come accennato, che il malware Lumma Stealer si è camuffato da uno di questi strumenti che è stato proposto e promosso proprio come dedicato alla verifica delle credenziali OnlyFans. Lo strumento, però, una volta eseguito va a scaricare e installare il payload dannoso "brtjgjsefd.exe" recuperandolo da un repository GitHub, che installa il pericoloso information stealer.

L'indagine di Veriti ha rivelato che il malware comunica con un account GitHub denominato "UserBesty", utilizzato per ospitare ulteriori payload dannosi. Tra questi, falsi checker per account Disney+ e Instagram, nonché un presunto aggregatore di dispositivi per le botnet Mirai. L'infrastruttura di comando e controllo (C2) fa invece uso di una serie di domini con estensione ".shop".

Insomma, nella fitta comunità del crimine informatico, in eterna competizione interna, il confine tra preda e predatore è più sfumato che mai. Chissà che anche gli hacker non debbano ripassare le buone pratiche di sicurezza informatica, quelle stesse pratiche che cercano quotidianamente di neutralizzare con le loro malefatte.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
vash7905 Settembre 2024, 16:41 #1
uno cosa che non capisco degli attacchi di questo tipo, ma quante volte si può sbagliare la password prima che ti blocchino? magari si provano x-mila password errate e il sistema non se ne accorge?
Cfranco05 Settembre 2024, 17:03 #2
Originariamente inviato da: vash79
uno cosa che non capisco degli attacchi di questo tipo, ma quante volte si può sbagliare la password prima che ti blocchino? magari si provano x-mila password errate e il sistema non se ne accorge?


Bisogna vedere intanto se c' è un sistema che blocca l' utenza dopo un tot di psw sbagliate
Perché non è tanto metterlo in piedi il problema, il problema è dopo, gestire lo sblocco non è banale devi mettere in piedi un sistema di autenticazione alternativo, ci possono essere attacchi DOS che bloccano gli utenti, ci possono essere hacker che usano il sistema di reset e riattivazione per fregarti la password ( vedi LinkedIn ), ci sono persone che se trovano l'utenza bloccata semplicemente se ne vanno ...
Come vedi sembra semplice ma rischi di infilarti in un ginepraio
vash7905 Settembre 2024, 17:08 #3
Originariamente inviato da: Cfranco
Bisogna vedere intanto se c' è un sistema che blocca l' utenza dopo un tot di psw sbagliate


pensavo fosse una cosa quasi di default, come sui server aziendali

Originariamente inviato da: Cfranco
Perché non è tanto metterlo in piedi il problema, il problema è dopo, gestire lo sblocco non è banale devi mettere in piedi un sistema di autenticazione alternativo, ci possono essere attacchi DOS che bloccano gli utenti, ci possono essere hacker che usano il sistema di reset e riattivazione per fregarti la password ( vedi LinkedIn )


si ci sta, non avevo valutato questo aspetto.

Originariamente inviato da: Cfranco
ci sono persone che se trovano l'utenza bloccata semplicemente se ne vanno ...


su onlyfans no dai....chi rinuncerebbe a t3tt3 e cul1
destroyer8505 Settembre 2024, 17:08 #4
Da quello che c'è scritto nell'articolo non era un sistema di brute force, ma un software che verifica la validità delle credenziali di un DB che hai acquistato online o trovato tramite qualche leak.
Esempio: leak di utenti e password su hwupgrade, potevi verificare se qualche pollaccione usava le stesse credenziali anche su onlyfans.
E per la cronaca, l'hacker è quello che estrae le password da hwupgrade, l'altro è un approfittatore (anche se ha pagato). Non mi sembra hacker Vs hacker, ma hacker Vs onanisti che non vogliono più usare l'immaginazione.
vash7905 Settembre 2024, 17:10 #5
comunque per principio diffido di voi black-spermiani
vash7905 Settembre 2024, 17:12 #6
Originariamente inviato da: destroyer85
Da quello che c'è scritto nell'articolo non era un sistema di brute force, ma un software che verifica la validità delle credenziali di un DB che hai acquistato online o trovato tramite qualche leak.
Esempio: leak di utenti e password su hwupgrade, potevi verificare se qualche pollaccione usava le stesse credenziali anche su onlyfans.


ne ho parlato perchè nell'articolo diceva
"I criminali informatici si sono dotati di strumenti progettati per verificare la validità di grandi set di credenziali rubate, così da automatizzare un processo bruteforce contro account OnlyFans presi di mira ed evitare il test manuale di migliaia di combinazioni nome utente/password."
Unrue06 Settembre 2024, 11:18 #7
Originariamente inviato da: vash79
uno cosa che non capisco degli attacchi di questo tipo, ma quante volte si può sbagliare la password prima che ti blocchino? magari si provano x-mila password errate e il sistema non se ne accorge?


Non devono provare neanche una volta. Il provare migliaia di password non implica che inserisci migliaia di volte credenziali a caso nella pagina di login, cosa impossibile e che ti bloccherebbero subito. Di solito un attacco del genere viene fatto cercando di ricreare lo stesso hash della password con migliaia di tentativi (hash rubato da un precedente leak chiaramente). Questo lo fai su un'altra macchina in tutta tranquillità. Una volta che l'hash corrisponde, hai trovato la password, e in un solo colpo fai il login correttamente.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^