En una operación reciente, se ha descubierto un esquema sofisticado que transforma a aspirantes a hackers de OnlyFans en víctimas. Un usuario bajo el alias Bilalkhanicom ofreció una herramienta en un foro de hackers que supuestamente permitía “verificar” cuentas de OnlyFans. Sin embargo, esta herramienta resultó ser un sistema de entrega de Lummac stealer, un malware diseñado para robar criptomonedas, datos sensibles y controlar dispositivos comprometidos.
Este malware, desarrollado por un actor conocido como ‘Shamel’ o ‘Lumma’, tiene como objetivo específico no solo las cuentas de OnlyFans, sino también servicios populares como Disney+, Instagram, y aquellos que buscan crear sus propios botnets.
¿Cómo funciona el ataque?
El malware Lummac stealer actúa como un caballo de Troya. Los aspirantes a hackers, al utilizar la herramienta maliciosa ofrecida por Bilalkhanicom, se convierten en víctimas de una operación diseñada para robar información confidencial. Entre los objetivos principales se incluyen:
- Carteras de criptomonedas: Roba fondos almacenados en carteras digitales.
- Extensiones de navegadores para autenticación en dos factores (2FA): Recoge credenciales y códigos de autenticación.
- Datos sensibles: Información personal, archivos importantes y cookies de sesión web.
Una de las características distintivas de este malware es su capacidad para descargar cargas adicionales desde un repositorio de GitHub llamado ‘UserBesty’, lo que le permite ampliar su rango de ataque y persistencia en los sistemas infectados.
Alcance del malware y conexiones geopolíticas
El alcance de la operación va más allá de OnlyFans. Los investigadores han identificado que Lummac stealer también tiene como objetivo otros servicios populares como Disney+ e Instagram, aprovechando la creciente demanda de acceso no autorizado a estas plataformas.
Además, la estructura del malware sugiere posibles conexiones geopolíticas, con nombres de carpetas y archivos que parecen hacer referencia a influencias globales. Dominios .shop recientemente creados se utilizan como servidores de comando y control (C2), permitiendo a los atacantes dirigir las acciones del malware y exfiltrar datos sin ser detectados.
Cómo los hackers aspirantes se convirtieron en víctimas
Lo más irónico de esta operación es que quienes buscaban explotar vulnerabilidades en plataformas como OnlyFans terminaron siendo las verdaderas víctimas. En lugar de obtener acceso no autorizado a cuentas, se exponen a perder criptomonedas, datos personales y otros recursos valiosos.
Técnicas y tácticas utilizadas
El ataque con Lummac stealer ha sido asociado con varias tácticas y técnicas de la matriz MITRE ATT&CK, incluyendo:
- T1539: Robo de cookies de sesión web.
- T1082: Descubrimiento de información del sistema.
- T1059: Interpretador de comandos y scripts.
- T1485: Destrucción de datos.
Conclusión
Este incidente subraya la importancia de estar alerta ante herramientas supuestamente “gratuitas” o “fáciles” ofrecidas en foros de hackers. Las operaciones maliciosas pueden volver a sus usuarios en víctimas, con consecuencias devastadoras, como la pérdida de información sensible, criptomonedas y acceso a cuentas.
Mantenerse protegido contra este tipo de ataques requiere una concientización sobre las amenazas y el uso de herramientas de seguridad avanzadas para detectar y prevenir infecciones de malware como Lummac stealer.
Fuente: https://otx.alienvault.com/