Sobald die Malware aktiv ist, behalten die Angreifer über ihren Command-and-Control-Server (C2) die Kontrolle. Das Schadprogramm sammelt Umgebungsdaten, richtet Persistenz ein und meldet sich regelmäßig zurück, um zu prüfen, ob eine neuere Version seiner selbst vorliegt – und aktualisiert sich bei Bedarf selbst.

Der Krypto-Diebstahl läuft über eine fortlaufende Überwachung der Zwischenablage. Kopiert ein Opfer beim Senden oder Empfangen von Geldern eine Wallet-Adresse, erkennt die Malware dies und tauscht die Adresse gegen eine von den Angreifern kontrollierte aus. Wer also seine Wallet-Adresse weitergibt, um Kryptowährung zu empfangen, weist den Absender in Wirklichkeit an, das Geld an die Täter zu überweisen.

In der zweiten Phase folgt die Datenexfiltration als erster Teil einer doppelten Erpressung. Welche Daten gestohlen werden, steuern die Angreifer über den C2-Server; sie decken sich mit den später verschlüsselten Inhalten – darunter Dokumente, Medien und Bilder, E-Mails, Entwickler- und Code-Dateien sowie Konstruktions- und Designdateien.

Anschließend beginnt die Verschlüsselung. Laut der Analyse lädt die Malware nach Erhalt des Befehls „encryption" eine Datei namens crypter.py von einem entfernten Server, speichert sie lokal und führt sie über den Python-Interpreter des Systems aus. Über den Fernet-Mechanismus wird ein eindeutiger Schlüssel für die AES-Verschlüsselung erzeugt und an den C2 gesendet. Die betroffenen Dateien werden gelesen, verschlüsselt und mit der Endung „.crpx0" gespeichert; bestimmte System- und kritische Verzeichnisse bleiben ausgenommen, damit das System trotz Ransomware stabil bleibt.

Zum Abschluss tauschen die Angreifer das Desktop-Hintergrundbild gegen ihr „Gotcha"-Motiv und hinterlegen Erpresserschreiben in englischer, russischer und chinesischer Sprache. Die Opfer sollen die Täter über mehrere Kanäle kontaktieren, darunter E-Mail, qTox und Telegram.

Die Kampagne betreibt eine eigene Leak-Seite. Zum Zeitpunkt der Analyse waren dort 38 kompromittierte Opfer aufgeführt, von denen 23 Datensätze verfügbar waren; die übrigen 15 hätten entweder das Lösegeld gezahlt oder die Zahlungsfrist sei noch nicht abgelaufen. Die Betreiber behaupten zudem, 10.839 Terabyte an Daten gestohlen zu haben. Verfügbare Datensätze werden für eine einmalige Gebühr von 500 US-Dollar in Kryptowährung angeboten – mit „lebenslangem Zugang zu allen aktuellen und künftigen Leaks" und ohne monatliche Gebühren.

Aryaka beschreibt CRPx0 als hochgradig organisierte, plattformübergreifende Bedrohung gegen Windows und macOS mit möglicher Unterstützung für Linux. Zu den Fähigkeiten zählen der Diebstahl von Kryptowährung, das Abgreifen von Wallet-Seed-Phrasen, das Nachladen weiterer Schadkomponenten und die vollständige Ransomware-Verschlüsselung. Die Operation sei modular und anpassbar, sodass die Angreifer von opportunistischem Diebstahl zu großangelegter Datenexfiltration und doppelter Erpressung eskalieren könnten.

Eine gezielte Auswahl der Opfer ist nicht erkennbar – betroffen kann jeder sein, der nach einem kostenlosen OnlyFans-Zugang sucht, was sich auch in den dreisprachigen Erpresserschreiben widerspiegeln dürfte. Die Forscher gehen davon aus, dass die Opfer eher private Geräte nutzen. Der Bericht von Aryaka enthält zudem eine Liste der Indikatoren für eine Kompromittierung (IoCs) sowie eine Zuordnung zum MITRE-ATT&CK-Framework.