概述
OnlyFans,是国外一个流量比肩某黄黑P站的付费成人视频网站,有一大批老司机作为拥趸。
但在近日,微步情报局捕获到一批“ OnlyFans 付费视频泄露”为主题的样本——将图片与木马程序打包,使用色情图片引诱用户运行伪装成视频文件的木马程序,从而窃取账号密码。
经研判分析,这一攻击手法的要点如下:
攻击者利用 OnlyFans 付费视频泄露为主题,向潜在受害者投递木马;
利用JWT作为配置文件下发,从 Chrome 中窃取 Facebook 等账密信息;
对 C2 进行拓线分析,获得攻击者部分资产信息,建议直接阻断,详见附录。
样本分析
样本使用 Golang 编译,运行后首先连接 C2(http://167.179.66.121:1337/api/setting)获取配置文件,然后利用 JWT Token 窃密。从解密后的配置文件代码来看,攻击者似乎对 Facebook 的 Token 感兴趣,如下图:
从 C2 获取配置文件:
“{\"profile\":\"Default\",\"fb\":\"\",\"cookie\":\"\",\"uid\":\"\",\"pass\":\"\",\"ip\":\"\",\"info\":\"\",\"ads\":\"\",\"bm\":\"\",\"status\":\"\"}”。
关联分析
除了 “OnlyFans 付费视频泄露”之外,微步情报局发现,攻击者还利用
“WhatsAPP 安装程序”、“GPT 安装程序”等作为主题诱导用户下载运行。
尽管使用的话术不同,但所投递的木马并没有太大区别,均使用 Golang 语言开发,主要以窃取 Chrome 浏览器信息,并发回 C2 为目的。其中,C2 均使用 “/api/setting” 作为配置下发路径,“/api/version” 作为接受回传路径。
附录-IOC
C2 | v2.animecut9.com |
v3.animecut9.com | |
167.179.66.121:1337 | |
149.28.150.40:1337 | |
74.81.54.202:1889 | |
graph.animecut9.com | |
rebrand.ly/WhatApps_PC | |
trello.com/1/cards/64219ecbf3abb4ccec56f187/attachments/6421d559ad5a9db9870cf7c7/download/WhatApps_Installer.exe | |
Hash | ae35a789f61e377dc715b0695b985d399dbcfe1650f0f10fe0ea40343fc4f0f8 |
22780384391c950e504c767926f341b563429dfb6ca1484efd2865265ced1580 | |
671fdd73aac6e7cf5571bfe7930e438f3fab00867962a66a2ac34f1f96cb8140 | |
118f0c8497bf72cc5d170434913f66669e64aa8881ed1211dafa4eb06eacb9cc | |
5da5e70853f2c2d6ccae7ad496e52d5935a96cfca4dc57465d1fa831d263f760 | |
d3b7b3bce9f98beeb43e0c2adaec2fc37568551ce486805711223f6efc79194a | |
2e69c9cb41a285ef9625232fc8023f8c98d25a1e5f760ad6a83b80b2851dca72 | |
ac54763c539c9f33f5b5305b477dbddc3e9cff34be5953a85c291c644c6d6e97 | |
d3b7b3bce9f98beeb43e0c2adaec2fc37568551ce486805711223f6efc79194a | |
5a434625d97851d7fb6b3f411274ea0f0b87b62eb54522a3f16fe013cb1ec044 | |
fca795be08af6a025fb1284e08995f288c43d85fe03cf544a70f4bbe75dc58fa |
---End---
CSOP 2023
长按识别下方二维码即可报名:
如有侵权请联系:admin#unsafe.sh