В мире кибербезопасности произошел неожиданный поворот событий: исследователи компании Veriti Research обнаружили изощренную схему, в которой одни киберпреступники успешно атаковали других. Центральным элементом этой операции стал фальшивый инструмент для взлома аккаунтов популярной платформы OnlyFans, который на самом деле распространял опасный инфостилер Lumma.
Анатомия обмана: как работает фальшивый инструмент
Популярность OnlyFans сделала аккаунты этого сервиса привлекательной мишенью для злоумышленников. Хакеры стремятся получить несанкционированный доступ к учетным записям с целью кражи платежей, шантажа владельцев или распространения приватного контента. Для упрощения процесса взлома киберпреступники часто используют специализированные инструменты, позволяющие автоматизировать проверку больших массивов украденных учетных данных.
Обнаруженный исследователями инструмент позиционировался как «чекер» для аккаунтов OnlyFans, якобы способный проверять учетные данные, баланс счетов и подключенные способы оплаты. Однако в действительности его единственной функцией было развертывание вредоносного ПО Lumma на системах доверчивых хакеров.
Lumma: мощный инфостилер нового поколения
Lumma представляет собой современную малварь, распространяемую по модели «Malware-as-a-Service» (MaaS). Активная с 2022 года, она предлагается киберпреступникам в аренду за 250-1000 долларов США в месяц. Ключевые возможности Lumma включают:
- Кража кодов двухфакторной аутентификации
- Извлечение данных криптовалютных кошельков
- Похищение паролей, файлов cookie и банковских данных из браузеров
- Восстановление истекших токенов сессий Google
- Загрузка и выполнение дополнительных вредоносных программ
Механизм распространения и коммуникации
В исследованном случае вредоносная нагрузка Lumma (файл brtjgjsefd.exe) загружалась из репозитория на GitHub. После установки малварь устанавливала связь с аккаунтом UserBesty, используемым злоумышленниками для хранения дополнительных вредоносных программ. Анализ сетевого трафика выявил ряд доменов в зоне .shop, выполнявших роль управляющих серверов для координации действий Lumma.
Тенденция «хакер против хакера»: растущая угроза в киберпреступном мире
Этот инцидент — не первый случай, когда киберпреступники становятся мишенью для своих же «коллег». В 2022 году наблюдались схожие атаки, включая распространение вредоносов, замаскированных под инструменты для взлома, и внедрение бэкдоров в вредоносное ПО. Такие случаи демонстрируют растущую тенденцию использования доверия внутри хакерского сообщества в качестве вектора атаки.
Данный инцидент подчеркивает критическую важность бдительности и проверки источников даже в среде киберпреступников. Он также служит напоминанием для обычных пользователей о необходимости соблюдения базовых правил кибербезопасности: использование сложных паролей, двухфакторной аутентификации и проявление осторожности при работе с непроверенными инструментами и файлами из интернета. В мире, где даже хакеры становятся жертвами кибератак, каждый пользователь должен быть начеку.