La nouvelle campagne découverte par eSentire est en cours depuis janvier 2023. Elle diffuse des fichiers ZIP contenant un chargeur VBScript que la victime est incitée à exécuter manuellement, pensant qu’elle est sur le point d’accéder aux collections premium d’OnlyFans.

La chaîne d’infection est inconnue, mais il pourrait s’agir de messages malveillants sur des forums, de messages instantanés, de publicités malveillantes ou même de sites de Black SEO qui se classent en tête pour des termes de recherche spécifiques. Un exemple partagé par Eclypsium prétend être des photos nues de l’ancienne actrice de films pour adultes Mia Khalifa. »

Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :

« La popularité d’OnlyFans attire malheureusement l’attention d’acteurs malveillants désireux d’arnaquer les utilisateurs légitimes. Contrairement aux courriels d’hameçonnage classiques, qui cherchent à dérober des données spécifiques telles que les identifiants d’accès, dans ce cas, les attaquants déploient des logiciels malveillants de vol d’informations. Ils peuvent ainsi obtenir presque toutes les informations de la victime.

Pour arriver à leurs fins, les cybercriminels usurpent des marques connues, apportant crédibilité et confiance aux tentatives d’escroqueries. Les cybercriminels augmentent ainsi leurs chances que les victimes fournissent volontairement des informations sensibles. En outre, les marques populaires ont une large base de clients, augmentant la probabilité que l’action malveillante touche un client existant, abaissant son niveau de vigilance.

L’usurpation d’OnlyFans dans cette campagne confirme que l’utilisation de marques de plateformes digitales augmente les chances de pousser à installer des logiciels.

Nos conseils : être très vigilant face aux demandes de téléchargement, tout autant que les canaux de communication utiliser pour inviter à une telle action. »