Вредонос crpx0 маскируется под бесплатные аккаунты OnlyFans, сочетая кражу криптовалют и шифрование данных

Исследователи Aryaka Threat Research Labs раскрыли масштабную многоэтапную атаку. Злоумышленники используют приманку "бесплатные учётные записи OnlyFans", чтобы вовлечь пользователей в запуск вредоносного кода. Подобный подход стирает границу между личными интересами и корпоративными рисками, ведь заражение может произойти на рабочем месте. Кампания нацелена на Windows и macOS и сочетает кражу криптовалютных активов с полноценным вымогательством и утечкой данных.

Описание

Начальное заражение происходит через архив OnlyfansAccounts.zip. Внутри находится ярлык с говорящим именем Onlyfans Accounts.lnk. При его открытии система незаметно выполняет команды cmd.exe, которые создают скрытую папку и загружают VBScript-загрузчик. Этот сценарий, в свою очередь, сохраняет текстовый файл с фальшивыми учётными данными OnlyFans и демонстрирует его жертве через блокнот. Так у пользователя создаётся ложное ощущение легитимности. Тем временем в фоновом режиме устанавливается портативная версия Python с необходимыми библиотеками и запускается основной оркестратор - сценарий call2.py.

С этого момента атака переходит в полностью автоматизированную стадию. Оркестратор определяет операционную систему и создаёт скрытый рабочий каталог. На Windows он генерирует зашифрованную команду PowerShell и оборачивает её в VBScript. Этот скрипт бесшумно загружает два ZIP-архива с основных серверов. Первый архив содержит главный модуль sys32.py, второй - вспомогательный инструмент для поиска фраз восстановления криптокошельков.

Загруженный модуль sys32.py немедленно связывается с управляющим сервером и проверяет наличие "аварийного выключателя". Если сервер возвращает сигнал остановки, вредонос самостоятельно удаляет все механизмы закрепления и завершает работу. При отсутствии такого сигнала программа обеспечивает постоянное присутствие в системе. На Windows она создаёт ярлык в папке автозагрузки и прописывает ключ в реестре, а на macOS размещает задание LaunchAgent. Дополнительно вредонос очищает записи реестра, которые отвечают за отключение автозагрузки, чтобы гарантировать повторный запуск после перезагрузки.

Параллельно с закреплением начинается сбор детальной информации о машине. На сервер уходит heartbeat-сообщение с данными об оборудовании, учётной записи, публичном IP-адресе и версии сборки. Вредонос постоянно опрашивает сервер на предмет новых задач через зашифрованное HTTPS-соединение. Благодаря этому операторы могут гибко управлять каждым заражённым устройством в реальном времени.

Сразу после установки соединения активируется модуль перехвата буфера обмена. Он нацелен на кошельки Bitcoin (включая устаревшие форматы и Bech32), Ethereum, Tron, Dogecoin и ряда других популярных монет. Как только пользователь копирует адрес для перевода, вредонос незаметно подменяет его на подконтрольный злоумышленникам. Факт замены немедленно регистрируется на сервере.

Ещё одна опасная функция - поиск seed-фраз, используемых для восстановления доступа к криптокошелькам. По команде с сервера запускается модуль finder.py. Он сканирует файлы наиболее распространённых форматов - текстовые документы, таблицы, PDF и исходный код - на всех доступных дисках. Сценарий опирается на стандартный список слов BIP39 и проверяет последовательности из 12 или 24 слов. Найденные фразы вместе с фрагментом исходного файла отправляются злоумышленникам. Так атакующие получают полный контроль над криптоактивами даже без прямого доступа к кошельку.

По мере развития атаки операторы способны развернуть на машине программу-вымогатель. Команда "encryption" инициирует загрузку модуля crypter.py. Он формирует виртуальное окружение, устанавливает криптографическую библиотеку и приступает к сканированию файлов. Шифрование выполняется по симметричной схеме с использованием механизма Fernet, который основан на алгоритме AES. Ключ шифрования немедленно отправляется на сервер, после чего скомпрометированные файлы получают расширение .crpx0. Затронутыми оказываются документы, изображения, архивы, почтовые базы, а также файлы проектирования и разработки.

После завершения шифрования на устройстве появляется записка с требованиями выкупа. Текст составлен на трёх языках - английском, русском и китайском. Жертве предлагают связаться с вымогателями через электронную почту, мессенджер qTox или Telegram, указав уникальный идентификатор организации. Помимо самой блокировки, преступники угрожают публикацией похищенных данных на своём сайте утечек.

В отчёте Aryaka Threat Research Labs сообщается, что сайт группировки в момент анализа содержал 38 записей о скомпрометированных организациях. Из них 23 активные утечки находились в публичном доступе, а общий объём похищенной информации оценивался в 10 893 ТБ. Сайт также предлагает платную подписку - за 500 долларов в криптовалюте любой желающий получает "пожизненный доступ" к украденным базам данных, исходному коду и конфиденциальным документам. Это превращает операцию в классическую схему двойного вымогательства.

Кампания демонстрирует продвинутую поддержку нескольких платформ. Анализ открытых директорий инфраструктуры выявил скрипты для генерации установщиков под macOS в форматах .app, .pkg и .dmg. Хотя основная масса подтверждённых инцидентов приходится на Windows, код модулей написан на Python, что делает его потенциально совместимым и с Linux. Прямых свидетельств развёртывания на Linux пока нет, но такая возможность заложена в архитектуру.

Многоуровневая модель распространения, постоянная связь с центром управления и широкий арсенал методов монетизации делают crpx0 серьёзной угрозой. Злоумышленники ловко играют на интересе к закрытому контенту, запуская цепочку, которая ведёт от безобидного ярлыка до полного шифрования данных и кражи криптовалют. Для бизнеса это означает необходимость внимательно контролировать запуск неизвестных файлов и мониторить аномальную сетевую активность на всех этапах.