LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les hackers pensaient avoir trouvé l’arme ultime pour dévaliser des comptes OnlyFans. Mais au final, ce sont eux qui se sont fait piéger. Le faux outil était en fait un malware.
Les cybercriminels ne manquent jamais de créativité pour s’emparer des données. Or cette fois, le vent a tourné. Un outil de hacking était censé les aider à pirater des comptes OnlyFans. Mais au lieu d’accéder aux trésors d’infos tant convoitées, les hackers ont téléchargé un malware.
Les cybercriminels pris dans leur propre filet
OnlyFans est une plateforme très prisée pour ses contenus adultes par abonnement. Celle-ci permet aux créateurs de monétiser leurs vidéos, images et lives avec leurs « fans ».
Toutefois, dans le monde du web, quand la popularité règne, des cybercriminels rôdent toujours dans les parages. Ces malfrats détournent les comptes pour voler les paiements, demander des rançons, ou même divulguer des photos privées.
D’après Veriti, la plateforme de sécurité, un certain « Bilalkhanicom » a vendu un faux checker sur un forum de piratage.
Cet outil promettait de vérifier des connexions OnlyFans, de voir les soldes des comptes et de détecter les méthodes de paiement associées. Tout cela se fait automatiquement, ce qui facilite donc la tâche pour les cyberpirates.
Mais sous les apparences, ce vérificateur cachait un malware.
Lumma Stealer le Cyberpiège, une ruse brillante
Il s’agit du malware-as-a-service (MaaS) Lumma Stealer. Depuis 2022, les cybercriminels le louent pour 250 à 1 000 $ par mois. Ce logiciel voleur cible les portefeuilles de crypto-monnaie, les extensions de navigateur, les authentifications à deux facteurs, les cookies et les cartes de crédit stockées. Par ailleurs, il sert de chargeur pour exécuter des scripts PowerShell ou introduire d’autres charges utiles sur des systèmes compromis.
Après être activé, Lumma Stealer se connecte à un compte GitHub appelé « UserBesty ». Puis, le malware extrait une « brtjgjsefd.exe », depuis un référentiel GitHub. Celle-ci s’enfonce dans le système de la victime, c’est pourquoi il est difficile de le retrouver et le supprimer.
Ce référentiel GitHub propose aussi des exécutables déguisés en outils pour accéder illégalement aux comptes. Par exemple, InstaCheck.exe pour Instagram, DisneyChecker.exe pour Disney+, ccMirai.exe pour générateurs de botnet Mirai…
En examinant de plus près, les chercheurs de Veriti ont identifié des domaines « .shop ». Ils sont utilisés comme serveurs de commande et de contrôle (C2) afin de piloter Lumma Stealer à distance et récupérer les données volées.
Ce n’est pas la première fois que des pirates informatiques se jouent des tours. En mars 2022, des hackers ont diffusé des voleurs de presse-papiers sous forme de RATs (cheval de Troie d’accès à distance) et des outils de création de logiciels malveillants.
La même année, un développeur a aussi introduit son propre malware en backdoor pour viser les identifiants, les portefeuilles de crypto-monnaie, et les comptes VPN des autres cybercriminels.
Et vous, que pensez-vous de cette tournure inattendue dans le monde de l’hacking ? Cette histoire vous surprend-elle ? Exprimez-vous en commentaire.
Restez à la pointe de l’information avec LEBIGDATA.FR !
Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités pour garder une longueur d’avance.
- Partager l'article :
