• 發布單位:TWCERT/CC
• 更新日期:2023-06-29
• 點閱次數:8917

資安廠商 eSentire 發現近來又有駭侵者利用成人社群訂閱制網站 OnlyFans 中的成人內容，來誘使受害者安裝能夠遠端存取的 DcRAT 資料竊取惡意軟體，甚至可用來發動勒贖攻擊。

OnlyFans 是全球知名的訂閱制社群內容創作網站，平台上最大宗的內容是成人限制級影音與文字；過去該平台中的訂戶限定內容，就經常成為各種駭侵者用來吸引受害者的誘餌，因為總有許多人想要免費一探究竟。

eSentire 指出，該公司發現的這波攻擊行動，最早開始於 2023 年 1 月，主要透過各種方式如地下論壇貼文、即時通訊、廣告或假網站等通路，來對受害者聲稱可免費觀賞 OnlyFans 中的付費限制級內容，然後藉機散布一個內含惡意 VBScript 的 zip 壓縮檔。

eSentire 分析該 VBScript，指出其為 2021 年另一場攻擊活動所用 VBScript 的小幅修改版本，在載入受害 Windows 電腦後，最終會注入一個名為 DcRAT 的惡意特洛伊木馬軟體；這是 AsyncRAT 的修改版本，可以在受害的 Windows 電腦上進行鍵盤輸入側錄（keylogging）、監控系統連接的 webcam 畫面、任意存取並變更檔案內容，也可以連上網路並竊取受害者的各種系統登入資訊、瀏覽器 cookie 等。

此外，DcRAT 還可以載入一個勒贖攻擊模組，可將所有非系統檔案全面加密，並加上 .DcRAT 的副檔名。

建議網路使用者應對這類「好康」訊息提高警覺，勿隨意點按不明來源的連結，也不應開啟任何來路不明的檔案。