VERITIはこのほど、「EXPOSED: OnlyFans Hack Gone Wrong - How Cyber Criminals Turn into Victims Overnight - VERITI」において、サブスクリプション型アダルトサイト「OnlyFans」のユーザーを標的にする脅威アクターに対し、情報窃取マルウェア「Lummac Stealer」を配布するサイバー攻撃を発見したと報じた。これは脅威アクターが脅威アクターを攻撃していることを意味しており、サイバー犯罪者間の欺瞞に満ちた関係性が浮き彫りになっている。

  • EXPOSED: OnlyFans Hack Gone Wrong - How Cyber Criminals Turn into Victims Overnight - VERITI

    EXPOSED: OnlyFans Hack Gone Wrong - How Cyber Criminals Turn into Victims Overnight - VERITI

攻撃の概要

今回確認された攻撃では、「Bilalkhanicom」を名乗る脅威アクターが、OnlyFansアカウントのチェッカーツールに偽装したマルウェアを配布した。ここで言うチェッカーツールは、脅威アクターが保有する大量の認証情報を標的Webサイトで有効かどうかを確認するツールとされる。

  • チェッカーツールを宣伝するアンダーグラウンドフォーラムのページ - 引用:VERITI

    チェッカーツールを宣伝するアンダーグラウンドフォーラムのページ 引用:VERITI

VERITIによると、チェッカーツールを使った場合、気付かないうちに情報窃取マルウェア「Lummac Stealer」に感染するという。つまり、チェッカーツールとして正常に動作するが、バックグラウンドでマルウェアを展開するものとみられる。

情報窃取マルウェア「Lummac Stealer」の動作

今回配布されたLummac Stealerの亜種は、起動すると「UserBesty」というユーザー名でGitHubに接続し、マルウェアローダーをダウンロードして被害者の環境深くに埋め込む。このマルウェアローダーは検出と削除が困難とされる。Lummac Stealerはコマンド&コントロール(C2: Command and Control)サーバに接続すると、主に次の情報を窃取する。

  • 暗号資産ウォレット
  • 多要素認証(MFA: Multi-Factor Authentication)のWebブラウザ拡張機能
  • システム上の機密情報

さらなる攻撃

VERITIの調査によると、Bilalkhanicomはチェッカーツール以外にも次のツールを用意しており、他の脅威アクターに対して別のキャンペーンを実施中とみられている。

  • DisneyChecker.exe - Disney+用の悪意のあるチェッカーツール
  • InstaCheck.exe - Instagram用の悪意のあるチェッカーツール
  • ccMirai.exe - ボットネット「Mirai」に偽装したマルウェアと推測される

セキュリティ研究者以外の良識のあるユーザーはこれらツールに触れる機会はなく、特別な対策は不要と考えられる。しかしながら、インターネット上にはこのような無法地帯が存在しており、興味本位では近寄らないようにすることが推奨されている。