Duty-Free.cc
Хакеры

Сотни поддельных сайтов Reddit распространяют вредоносное ПО Lumma Stealer

Duty News 0 30.01.2025

Хакеры распространяют около 1000 веб-страниц, имитирующих Reddit и файлообменный сервис WeTransfer, которые приводят к загрузке вредоносного ПО Lumma Stealer.

На фейковых страницах злоумышленник злоупотребляет брендом Reddit, показывая фейковую ветку обсуждения на определенную тему. Создатель ветки просит помочь загрузить определенный инструмент, другой пользователь предлагает помочь, загрузив его на WeTransfer и поделившись ссылкой, а третий благодарит его за то, чтобы все выглядело законным.

Ничего не подозревающие жертвы, нажимающие на ссылку, перенаправляются на поддельный сайт WeTransfer, который имитирует интерфейс популярного файлообменного сервиса. Кнопка «Загрузить» ведет к 
полезной нагрузке Lumma Stealer , размещенной на «weighcobbweo[.]top».

Все сайты, используемые в этой кампании, содержат строку бренда, который они олицетворяют, за которой следуют случайные числа и символы, чтобы на первый взгляд они казались законными. Домены верхнего уровня — это «.org» или «.net».

Все сайты, входящие в кампанию, содержат строку бренда, который они представляют, за которой следуют случайные числа и символы, чтобы на первый взгляд казаться законными. Домены верхнего уровня — это «.org» или «.net»

Эти поддельные веб-сайты были обнаружены 
исследователем Sekoia crep1x , который 
поделился полным списком веб-страниц, участвующих в схеме. В общей сложности существует 529 страниц, выдающих себя за Reddit, и 407, выдающих себя за официальный сервис WeTransfer, предлагающий загрузку.

Атака может начаться с вредоносной рекламы, SEO-отражения, вредоносных веб-сайтов, прямых сообщений в социальных сетях и других средств.

Год назад тот же исследователь обнаружил похожую кампанию, в ходе которой 1300 сайтов использовали бренд AnyDesk для продвижения вредоносного ПО Vidar Stealer.

Риск вредоносного ПО, крадущего информацию

Lumma Stealer — это мощный инструмент с передовыми механизмами уклонения и кражи данных . Вредоносное ПО продается хакерам, которые распространяют его различными способами, включая комментарии GitHub , сайты генераторов deepfake nude и вредоносную рекламу .

Вредоносное ПО для кражи информации может собирать, среди прочего, пароли, хранящиеся в веб-браузерах, и токены сеансов, которые можно использовать для взлома учетных записей без знания учетных данных.

Этот тип угроз обычно используется для кражи конфиденциальных данных о входах в систему компаний, а данные обычно продаются на хакерских форумах.

Совсем недавно похитители информации осуществили мощные атаки на PowerSchool , HotTopic , CircleCI и Snowflake .