Исследователи компании Veriti Research обнаружили изощрённую схему, в которой одни киберпреступники успешно атаковали других. Центральным элементом этой операции стал фальшивый инструмент для взлома аккаунтов популярной платформы OnlyFans, который на самом деле распространял опасный инфостилер Lumma.
Анатомия обмана: как работает фальшивый инструмент
Популярность OnlyFans сделала аккаунты этого сервиса привлекательной мишенью для злоумышленников. Хакеры стремятся получить несанкционированный доступ к учётным записям с целью кражи платежей, шантажа владельцев или распространения приватного контента. Для упрощения процесса взлома киберпреступники часто используют специализированные инструменты, позволяющие автоматизировать проверку больших массивов украденных учётных данных.
Обнаруженный исследователями инструмент позиционировался как «чекер» для аккаунтов OnlyFans, якобы способный проверять учётные данные, баланс счетов и подключённые способы оплаты. Однако в действительности его единственной функцией было развёртывание вредоносного ПО Lumma на системах доверчивых хакеров.
Lumma: мощный инфостилер нового поколения
Lumma представляет собой современную малварь, распространяемую по модели «Malware-as-a-Service» (MaaS). Активная с 2022 года, она предлагается киберпреступникам в аренду за 250–1000 долларов США в месяц. Ключевые возможности Lumma включают:
- Кража кодов двухфакторной аутентификации
- Извлечение данных криптовалютных кошельков
- Похищение паролей, файлов cookie и банковских данных из браузеров
- Восстановление истекших токенов сессий Google
- Загрузка и выполнение дополнительных вредоносных программ
Механизм распространения и коммуникации
В исследованном случае вредоносная нагрузка Lumma (файл brtjgjsefd.exe) загружалась из репозитория на GitHub. После установки малварь устанавливала связь с аккаунтом UserBesty, используемым злоумышленниками для хранения дополнительных вредоносных программ. Анализ сетевого трафика выявил ряд доменов в зоне .shop, выполнявших роль управляющих серверов для координации действий Lumma.
Кто находится под угрозой
Жертвами подобных атак становятся прежде всего сами киберпреступники, скачивающие «хакерские инструменты» с неофициальных ресурсов. Однако угроза затрагивает и обычных пользователей: инфостилер Lumma после компрометации хакерских машин может получить доступ к данным их клиентов, жертв, с которыми те взаимодействовали, а также к платёжным реквизитам и корпоративным учётным данным.
Тенденция «хакер против хакера»: растущая угроза в киберпреступном мире
Этот инцидент — не первый случай, когда киберпреступники становятся мишенью для своих же «коллег». В 2022 году наблюдались схожие атаки, включая распространение вредоносов, замаскированных под инструменты для взлома, и внедрение бэкдоров в вредоносное ПО. Такие случаи демонстрируют растущую тенденцию использования доверия внутри хакерского сообщества в качестве вектора атаки.
Что делать обычным пользователям
- Никогда не запускать исполняемые файлы из неизвестных источников — даже если они описываются как «безобидные утилиты»
- Использовать уникальные, сложные пароли для каждого сервиса и хранить их в надёжном менеджере паролей
- Включить двухфакторную аутентификацию на всех важных аккаунтах (банки, почта, криптовалютные кошельки)
- Проверить, не попали ли ваши данные в утечки, на сервисе Have I Been Pwned
Данный инцидент служит напоминанием о том, что даже среди киберпреступников нет доверия — и любой инструмент из теневых форумов может оказаться ловушкой.
