據(jù)BleepingComputer消息，有黑客使用一種假冒的 OnlyFans 工具瞄準(zhǔn)其他黑客，聲稱可以用來幫助竊取用戶帳戶，但實(shí)際上卻是用 Lumma信息竊取器對(duì)這些黑客發(fā)動(dòng)入侵。

這項(xiàng)由 Veriti Research 發(fā)現(xiàn)的現(xiàn)象反映了網(wǎng)絡(luò)犯罪分子之間并非是統(tǒng)一的”獵食者“身份，彼此之間的被刺時(shí)有發(fā)生。

這次黑客所利用的OnlyFans 是一個(gè)非常受歡迎、基于用戶訂閱的內(nèi)容創(chuàng)作平臺(tái)，創(chuàng)作者可以與訂閱者分享視頻、圖像、消息和直播流，而訂閱者則需要支付經(jīng)常性費(fèi)用或一次性付款以獲得獨(dú)家內(nèi)容。鑒于它的受歡迎程度，OnlyFans 帳戶經(jīng)常成為攻擊者的目標(biāo)，試圖劫持賬戶、勒索賬戶所有者支付贖金，或者干脆泄露私人照片。

黑客論壇上的OnlyFans惡意工具廣告

因此，黑客開發(fā)了一種能快速驗(yàn)證賬戶的工具，檢查登錄信息是否與任何 OnlyFans 賬戶匹配，以及是否仍然有效，否則，黑客就必須手動(dòng)測(cè)試成千上萬個(gè)憑證，其過程既不現(xiàn)實(shí)又繁瑣，導(dǎo)致該計(jì)劃無法實(shí)施。

然而，正是由于該工具由黑客創(chuàng)建并在其他黑客中傳播，處于競爭關(guān)系的黑客必然在其中留了一手，對(duì)其他黑客竊取信息以將自身利益最大化。

Veriti發(fā)現(xiàn)的假冒OnlyFans 工具內(nèi)含有Lumma信息竊取器，有效載荷名為 "brtjgjsefd.exe"，是從 GitHub 存儲(chǔ)庫中獲取并加載到受害者計(jì)算機(jī)中。Lumma 自 2022 年以來一直以每月 250-1000 美元的價(jià)格出租給網(wǎng)絡(luò)犯罪分子，并通過各種方式傳播，包括惡意廣告、YouTube 評(píng)論、種子文件以及最近的 GitHub 評(píng)論。

Lumma 具有創(chuàng)新的規(guī)避機(jī)制和恢復(fù)過期谷歌會(huì)話令牌的能力。 它主要用于竊取雙因素身份驗(yàn)證代碼、加密貨幣錢包，以及存儲(chǔ)在受害者瀏覽器和文件系統(tǒng)中的密碼、cookie 和信用卡。 Lumma 本身也是一個(gè)加載器，能夠在被入侵系統(tǒng)中引入額外的有效載荷，并執(zhí)行 PowerShell 腳本。

Veriti 發(fā)現(xiàn)，當(dāng) Lumma Stealer 有效載荷啟動(dòng)時(shí)，它會(huì)連接到一個(gè)名為 "UserBesty "的 GitHub 賬戶，幕后黑客利用該賬戶托管其他惡意有效載荷。

這并不是黑客第一次針對(duì)其他網(wǎng)絡(luò)犯罪分子進(jìn)行惡意攻擊。 2022 年 3 月，黑客利用偽裝成破解 RAT 和惡意軟件構(gòu)建工具的剪貼板竊取程序來竊取加密貨幣。 同年晚些時(shí)候，一名惡意軟件開發(fā)者在自己的惡意軟件中設(shè)置了后門，以竊取其他黑客的憑證、加密貨幣錢包和 VPN 賬戶數(shù)據(jù)。