Setki fałszywych witryn Reddit rozpowszechnia złośliwe oprogramowanie Lumma Stealer. Hakerzy dystrybuują blisko 1000 stron internetowych imitujących Reddit i serwis do udostępniania plików WeTransfer, które prowadzą do pobrania złośliwego oprogramowania Lumma Stealer.
Na fałszywych stronach przestępcy nadużywają marki Reddit, pokazując fałszywy wątek dyskusyjny na określony temat. Twórca wątku prosi o pomoc w pobraniu konkretnego narzędzia, inny użytkownik oferuje pomoc, przesyłając je na WeTransfer i udostępniając link, a trzeci dziękuje mu, aby wszystko wyglądało wiarygodnie.
Niczego niepodejrzewające ofiary klikające w link są przekierowywane na fałszywą stronę WeTransfer, która imituje interfejs popularnego serwisu do udostępniania plików. Przycisk „Pobierz” prowadzi do ładunku Lumma Stealer hostowanego na „weighcobbweo[.]top.”
Wszystkie strony używane w tej kampanii zawierają ciąg znaków marki, którą podszywają, a następnie losowe liczby i znaki, aby na pierwszy rzut oka wyglądały wiarygodnie. Domeny najwyższego poziomu to „.org” lub „.net.”
Reddit wykorzystywany przy rozpowszechnianiu malware’u
Wszystkie strony będące częścią kampanii zawierają ciąg znaków marki, którą podszywają, a następnie losowe liczby i znaki, aby na pierwszy rzut oka wyglądały wiarygodnie. Domeny najwyższego poziomu to „.org” lub „.net.”
Fałszywe strony zostały odkryte przez badacza Sekoia crep1x, który udostępnił pełną listę stron uczestniczących w procederze. Łącznie jest 529 stron podszywających się pod Reddit i 407 udających oficjalny serwis WeTransfer oferujący pobieranie.
Badacz powiedział serwisowi BleepingComputer, że nie był w stanie znaleźć żadnych wskazówek dotyczących wcześniejszych etapów łańcucha infekcji, ale użyte konkretne tematy wskazują na pewną formę opracowania.
Rok temu ten sam badacz odkrył podobną kampanię, w której 1300 stron nadużywało marki AnyDesk do rozpowszechniania złośliwego oprogramowania Vidar Stealer.
Ryzyko związane z oprogramowaniem wykradającym informacje
Lumma Stealer to potężne narzędzie z zaawansowanymi mechanizmami unikania wykrycia i kradzieży danych. Złośliwe oprogramowanie jest sprzedawane hakerom, którzy rozpowszechniają je różnymi metodami, w tym przez komentarze na GitHubie, strony generujące deepfake’owe akty i złośliwe reklamy.
Złośliwe oprogramowanie wykradające informacje może zbierać między innymi hasła przechowywane w przeglądarkach internetowych i tokeny sesji, które mogą być wykorzystane do przejęcia kont bez znajomości poświadczeń.
Czytaj też: