Хакеры создали около 1000 фейковых веб-страниц, имитирующих популярные платформы Reddit и службу обмена файлами WeTransfer. Эти сайты используются для распространения вредоносного ПО под названием Lumma.
На фейковых страницах злоумышленники подделывают интерфейс Reddit, показывая вымышленную ветку обсуждения по определённой теме. В обсуждении автор темы якобы просит помощь в загрузке инструмента, другой пользователь предлагает помочь, разместив файл на WeTransfer и поделившись ссылкой, а третий участник благодарит его. Всё это создаёт иллюзию подлинности.
Жертвы, щёлкнувшие по ссылке, перенаправляются на фальшивый сайт WeTransfer, визуально схожий с оригинальным интерфейсом. Кнопка «Скачать» ведёт к загрузке вредоносного ПО Lumma Stealer, размещённого на домене "vestoconcert[.]top". Все поддельные веб-ресурсы содержат название подделываемого бренда, за которым следуют случайные символы или числа. Это делает домены похожими на легитимные при беглом осмотре. Верхний уровень доменов обычно «.org» или «.net».
Эти фальшивые страницы обнаружил исследователь SEKOIA CREP1X, который опубликовал полный список задействованных в схеме веб-сайтов. Всего насчитывается 529 поддельных страниц, выдающих себя за Reddit, и 407 — за официальную службу WeTransfer.
Исследователь сообщил BleepingComputer, что не смог определить начальные этапы заражения, но затронутые темы указывают на целенаправленную подготовку.
Информационный стилер способен собирать пароли, сохранённые в веб-браузерах, а также токены сессий, которые позволяют злоумышленникам захватывать учетные записи без необходимости знать пароли.
Этот тип угроз часто используется для кражи конфиденциальных данных, включая корпоративные учетные записи. Собранные данные впоследствии продаются на хакерских форумах.
Источник
На фейковых страницах злоумышленники подделывают интерфейс Reddit, показывая вымышленную ветку обсуждения по определённой теме. В обсуждении автор темы якобы просит помощь в загрузке инструмента, другой пользователь предлагает помочь, разместив файл на WeTransfer и поделившись ссылкой, а третий участник благодарит его. Всё это создаёт иллюзию подлинности.
Поддельный сайт Reddit
Жертвы, щёлкнувшие по ссылке, перенаправляются на фальшивый сайт WeTransfer, визуально схожий с оригинальным интерфейсом. Кнопка «Скачать» ведёт к загрузке вредоносного ПО Lumma Stealer, размещённого на домене "vestoconcert[.]top". Все поддельные веб-ресурсы содержат название подделываемого бренда, за которым следуют случайные символы или числа. Это делает домены похожими на легитимные при беглом осмотре. Верхний уровень доменов обычно «.org» или «.net».
Примеры поддельного портала WeTransfer
Эти фальшивые страницы обнаружил исследователь SEKOIA CREP1X, который опубликовал полный список задействованных в схеме веб-сайтов. Всего насчитывается 529 поддельных страниц, выдающих себя за Reddit, и 407 — за официальную службу WeTransfer.
Исследователь сообщил BleepingComputer, что не смог определить начальные этапы заражения, но затронутые темы указывают на целенаправленную подготовку.
Методы атаки
Атака может начинаться с вредоносной рекламы, отравления SEO (поисковой оптимизации), вредоносных сайтов, прямых сообщений в социальных сетях и других способов. Год назад этот же исследователь выявил похожую кампанию: более 1300 фейковых сайтов использовали бренд AnyDesk для распространения вредоносного ПО Vidar Stealer.Опасность Lumma Stealer
Lumma Stealer — это мощное вредоносное ПО с продвинутыми механизмами уклонения и кражи данных. Оно продаётся хакерам, которые распространяют его через различные методы, включая комментарии на GitHub, сайты с поддельными генераторами изображений (например, DeepFake Nude Generator) и другие ресурсы.Информационный стилер способен собирать пароли, сохранённые в веб-браузерах, а также токены сессий, которые позволяют злоумышленникам захватывать учетные записи без необходимости знать пароли.
Этот тип угроз часто используется для кражи конфиденциальных данных, включая корпоративные учетные записи. Собранные данные впоследствии продаются на хакерских форумах.
Источник
Последнее редактирование модератором:
