Para peretas menargetkan peretas lain dengan alat OnlyFans palsu yang mengklaim dapat membantu mencuri akun tetapi malah menginfeksi pelaku ancaman dengan malware pencuri informasi Lumma.
Operasi, ditemukan oleh Veriti Researchmerupakan contoh khas dari kaburnya batas antara menjadi predator atau mangsa di dunia kejahatan dunia maya, yang penuh dengan lika-liku ironis dan tusukan dari belakang.
“Memeriksa” infeksi Lumma
OnlyFans adalah platform konten dewasa berbasis langganan yang sangat populer di mana pembuat konten dapat memperoleh uang dari pengguna (disebut sebagai “penggemar”) yang membayar untuk mengakses konten mereka.
Pembuat konten dapat berbagi video, gambar, pesan, dan siaran langsung dengan pelanggannya, sementara pelanggan membayar biaya berulang atau pembayaran satu kali untuk konten eksklusif.
Karena popularitasnya, akun OnlyFans kerap menjadi sasaran pelaku ancaman yang berupaya membajaknya guna mencuri pembayaran penggemar, memeras pemilik akun agar membayar tebusan, atau sekadar membocorkan foto pribadi.
Alat pemeriksa dirancang untuk membantu memvalidasi serangkaian besar kredensial login yang dicuri (nama pengguna dan kata sandi), memeriksa apakah detail login cocok dengan akun OnlyFans mana pun dan apakah masih valid.
Tanpa alat tersebut, penjahat dunia maya harus menguji ribuan pasangan kredensial secara manual, sebuah proses yang tidak praktis dan membosankan yang akan membuat skema tersebut tidak dapat dijalankan.
Akan tetapi, alat-alat ini umumnya dibuat oleh penjahat dunia maya lainnya, sehingga menyebabkan para peretas percaya bahwa alat-alat tersebut aman untuk digunakan, dan dalam beberapa kasus, hal ini menjadi bumerang.
Veriti menemukan kasus pemeriksa OnlyFans yang menjanjikan untuk memverifikasi kredensial, memeriksa saldo akun, memverifikasi metode pembayaran, dan menentukan hak istimewa kreator tetapi malah memasang malware pencuri informasi Lumma.
Sumber: Veriti
Muatan tersebut, bernama “brtjgjsefd.exe,” diambil dari repositori GitHub dan dimuat ke komputer korban.
Lumma adalah malware-as-a-service (MaaS) pencuri informasi yang telah disewakan kepada penjahat dunia maya sejak tahun 2022 seharga $250-$1000/bulan dan didistribusikan melalui berbagai cara, termasuk malvertising, komentar YouTube, torrent, dan, yang terbaru, Komentar GitHub.
Ini adalah pencuri informasi tingkat lanjut dengan mekanisme penghindaran yang inovatif dan kemampuan untuk mengembalikan token sesi Google yang kedaluwarsa. Peretasan ini paling dikenal karena mencuri kode autentikasi dua faktor, dompet mata uang kripto, serta kata sandi, kuki, dan kartu kredit yang disimpan di peramban dan sistem berkas korban.
Lumma juga berfungsi ganda sebagai loader, yang mampu memperkenalkan muatan tambahan ke sistem yang disusupi dan mengeksekusi skrip PowerShell.
Operasi penipuan yang lebih luas
Veriti menemukan bahwa saat muatan Lumma Stealer diluncurkan, muatan tersebut akan terhubung ke akun GitHub dengan nama “UserBesty,” yang digunakan oleh penjahat dunia maya di balik kampanye ini untuk menghosting muatan berbahaya lainnya.
Sumber: Veriti
Secara spesifik, repositori GitHub berisi kode yang menyerupai pemeriksa untuk akun Disney+, Instagram, dan yang diduga sebagai pembuat botnet Mirai:
- Pencuri akun Disney+ menjadi sasaran “DisneyChecker.exe”
- Peretas Instagram terpikat oleh “InstaCheck.exe”
- Calon pembuat botnet terpikat dengan “ccMirai.exe”
Dengan menyelidiki lebih dalam komunikasi malware tersebut, peneliti Veriti menemukan serangkaian domain “.shop” yang bertindak sebagai server perintah dan kontrol (C2), yang mengirimkan perintah ke Lumma dan menerima data yang diekstraksi.
Kampanye ini bukan pertama kalinya aktor ancaman menargetkan penjahat dunia maya lainnya dalam serangan jahat.
Pada bulan Maret 2022, peretas menargetkan peretas dengan pencuri clipboard menyamar sebagai RAT yang diretas dan alat pembuat malware untuk mencuri mata uang kripto.
Kemudian pada tahun yang sama, sebuah pengembang malware membuat backdoor malware mereka sendiri untuk mencuri kredensial, dompet mata uang kripto, dan data akun VPN dari peretas lain.
