據(jù)BleepingComputer消息，有黑客使用一種假冒的 OnlyFans 工具瞄準(zhǔn)其他黑客，聲稱可以用來幫助竊取用戶帳戶，但實際上卻是用 Lumma信息竊取器對這些黑客發(fā)動入侵。

這項由 Veriti Research 發(fā)現(xiàn)的現(xiàn)象反映了網(wǎng)絡(luò)犯罪分子之間并非是統(tǒng)一的”獵食者“身份，彼此之間的被刺時有發(fā)生。

這次黑客所利用的OnlyFans 是一個非常受歡迎、基于用戶訂閱的內(nèi)容創(chuàng)作平臺，創(chuàng)作者可以與訂閱者分享視頻、圖像、消息和直播流，而訂閱者則需要支付經(jīng)常性費(fèi)用或一次性付款以獲得獨家內(nèi)容。鑒于它的受歡迎程度，OnlyFans 帳戶經(jīng)常成為攻擊者的目標(biāo)，試圖劫持賬戶、勒索賬戶所有者支付贖金，或者干脆泄露私人照片。

黑客論壇上的OnlyFans惡意工具廣告

因此，黑客開發(fā)了一種能快速驗證賬戶的工具，檢查登錄信息是否與任何 OnlyFans 賬戶匹配，以及是否仍然有效，否則，黑客就必須手動測試成千上萬個憑證，其過程既不現(xiàn)實又繁瑣，導(dǎo)致該計劃無法實施。

然而，正是由于該工具由黑客創(chuàng)建并在其他黑客中傳播，處于競爭關(guān)系的黑客必然在其中留了一手，對其他黑客竊取信息以將自身利益最大化。

Veriti發(fā)現(xiàn)的假冒OnlyFans 工具內(nèi)含有Lumma信息竊取器，有效載荷名為 "brtjgjsefd.exe"，是從 GitHub 存儲庫中獲取并加載到受害者計算機(jī)中。Lumma 自 2022 年以來一直以每月 250-1000 美元的價格出租給網(wǎng)絡(luò)犯罪分子，并通過各種方式傳播，包括惡意廣告、YouTube 評論、種子文件以及最近的 GitHub 評論。

Lumma 具有創(chuàng)新的規(guī)避機(jī)制和恢復(fù)過期谷歌會話令牌的能力。 它主要用于竊取雙因素身份驗證代碼、加密貨幣錢包，以及存儲在受害者瀏覽器和文件系統(tǒng)中的密碼、cookie 和信用卡。 Lumma 本身也是一個加載器，能夠在被入侵系統(tǒng)中引入額外的有效載荷，并執(zhí)行 PowerShell 腳本。

Veriti 發(fā)現(xiàn)，當(dāng) Lumma Stealer 有效載荷啟動時，它會連接到一個名為 "UserBesty "的 GitHub 賬戶，幕后黑客利用該賬戶托管其他惡意有效載荷。

這并不是黑客第一次針對其他網(wǎng)絡(luò)犯罪分子進(jìn)行惡意攻擊。 2022 年 3 月，黑客利用偽裝成破解 RAT 和惡意軟件構(gòu)建工具的剪貼板竊取程序來竊取加密貨幣。 同年晚些時候，一名惡意軟件開發(fā)者在自己的惡意軟件中設(shè)置了后門，以竊取其他黑客的憑證、加密貨幣錢包和 VPN 賬戶數(shù)據(jù)。