Dijital ironinin şaşırtıcı bir sonucu olarak araştırmacılar, OnlyFans’ta hacker olmak isteyenleri hedef alan karmaşık bir operasyonu ortaya çıkardılar. Bu operasyon, bazen kendi kendini yok eden acımasız bir siber suç ekosistemini gözler önüne seriyor.
Hacking aracı OnlyFans ‘denetleyici’ aracı olarak dağıtılmıştı, denetleyici araçlar çalınan kimlik bilgilerinin geçerliliğini toplu olarak test etme olanağı sunar. Ancak, bu araç Lummac Stealer kötü amaçlı yazılımıyla donatılmıştı.
OnlyFans Denetleyicisi ve Lummac Hırsızı
OnlyFans kontrol aracı, siber suçluların çalınan kullanıcı adı/şifre kombinasyonlarını doğrulama, hesap bakiyelerini kontrol etme, hesaplara ödeme yöntemleri eklenip eklenmediğini doğrulama ve hesapların yaratıcı ayrıcalıklarına sahip olup olmadığını belirleme olanağı sağladığını iddia ediyor. Ancak, Veriti’nin araştırma ekibinin yaptığı araştırmanın ortaya koyduğu üzere, bazen bu araçlar, bunları indirip kullanmaya çalışan siber suçluları hedef alan Truva atları olarak işlev görmektedir.
Araştırmacılar, Lummac Stealer’ın, diğer adıyla LummaC2 Stealer’ın, tipik bir sıradan kötü amaçlı yazılım olmadığını belirtiyor. Kötü amaçlı yazılım ilk olarak Ağustos 2022’de ortaya çıktı ve tehdit aktörü ‘Shamel’/ ‘Lumma’ tarafından geliştirildi ve daha geniş siber suçlu kitlesine Malware-as-a-Service (MaaS) modeli altında paylaşıldı.
Kötü amaçlı yazılımın işleyişindeki teknik karmaşıklık, birincil hedefler ve gelişmiş yükleyici yetenekleri, onu saldırı taktiklerini operasyon boyunca uyarlayıp geliştirebilen gelişmiş bir kötü amaçlı yazılım tehdidi haline getiriyor.
Araştırmacılar ayrıca tehdit aktörü ‘Bilalkhanicom’un Disney+ hesaplarını, Instagram hacker’larını ve hatta botnet bekçilerini kırmayı amaçlayan siber suçluları hedef alan paralel kampanyalar başlattığını belirtti. Bu kampanyalar için dağıtılan yürütülebilir dosyalar, senaryoyu şüphesiz suçlulara karşı tersine çevirmeyi amaçlıyor.
Çalıştırıldığında, gizli kötü amaçlı yazılım yalnızca birkaç gün önce oluşturulmuş ‘UserBesty’ kullanıcı adıyla çalışan bir GitHub hesabına bağlanır. GitHub hesabının çeşitli ek kötü amaçlı yükler için bir depo görevi gördüğü gözlemlendi.
Bu yüklerden biri olan ‘brtjgjsefd.exe’, hedef sistemin sistem ortamına derinlemesine yerleşecek şekilde tasarlanmıştır; böylece güvenlik tespit araçlarına karşı istisnalar yaratılarak tespit edilmesi ve etkisiz hale getirilmesi daha da zor hale gelir.
Jeopolitik Bilmece
Son olarak araştırmacılar, kötü amaçlı yazılımın mimarisinin derinliklerinde gizlenmiş birden fazla potansiyel jeopolitik bağlantı keşfettiler; klasör adları Doğu Asya, Afrika, Kelt ve Yerli Latin Amerika kökenlerini gösteriyordu:
- ‘Hiyang’ ve ‘Reyung Doğu Asya bağlantıları olduğunu öne sürüyor
- ‘Zuka’ Afrika etkilerini akla getiriyor
- ‘Lir’ Kelt mitolojisini çağrıştırıyor
- Popisaya’ Yerli Latin Amerika kökenlerini öne sürüyor
Araştırmacılar ayrıca kötü amaçlı yazılımın operasyonel iletişim faaliyetlerini, her biri yüksek bir tespit oranına sahip olan birkaç yeni kayıtlı .shop etki alanına kadar izleyebildiler. caffegclasiqwp(.)shop ve ponintnykqwm(.)shop gibi etki alanları, kötü amaçlı yazılımın faaliyetlerini düzenlemek için güvenilir komuta ve kontrol (C2) sunucuları olarak hizmet etti.
Araştırmacılar bu kampanyayı, siber suçlular da dahil olmak üzere herkesin aktif siber güvenlik önlemleri alması gerektiğini gösteren ustaca bir siber aldatmaca eylemi olarak nitelendiriyor.